ハッカー

イーサリアム財団は最近、ETH Rangersセキュリティプロジェクトのまとめ報告を発表し、6ヶ月間のセキュリティ助成プログラムで、研究者が約100名の国家資金提供を受けたネットワーク活動者を特定したことを明らかにしました。その中には、北朝鮮からの侵入者が含まれており、複数のWeb3プロジェクトで活動しています。報告書によると、関連調査は「Ketman Project」などのプロジェクトを通じて進められ、研究者は約53のブロックチェーンプロジェクトに警告を発し、これらの人物が偽の身分で開発チームに侵入し、資金の流れや技術職に関与していることを明らかにしました。同時に、一部の関連資金は凍結され、規模は数十万ドルに達しています。セキュリティチームは、関連情報をLazarus Groupの脅威分析システムに組み込み、DEF CONなどのセキュリティ会議で公開し、国家レベルのサイバー攻撃が暗号業界のインフラに持続的に浸透していることを示しています。全体的な成果として、このプログラムは累計で580万ドル以上の資金を凍結または回収し、報告または記録された脆弱性は785件を超え、36件のセキュリティ事件を処理しました。これは、現在のイーサリアムエコシステムが直面しているセキュリティ脅威が単なる脆弱性攻撃から、国家レベルの行為者を含む体系的リスクに進化していることを示しています。さらに、報告書は、北朝鮮関連のハッカーが「リモートITワーカー」などの方法でプロジェクトに侵入し、アカウントの乗っ取り、フリーランスプラットフォームへの侵入、資金移動などのさまざまな攻撃経路に関与していることを指摘し、業界の重点防止対象となっています。イーサリアム財団は、分散型ネットワークのセキュリティには「分散型防御」が必要であると強調し、今後もセキュリティ研究、脅威情報、そして人材育成を継続的に支援し、不断に進化する国家レベルのサイバー脅威に対処していくとしています。

最近発生した「ListaDAOLiquidStakingVault」契約の攻撃事件に関して、ListaDAO公式は声明を発表し、攻撃を受けた契約は公式に展開されたものではなく、未検証の第三者によって類似の名前で作成された偽契約であることを明らかにしました。ListaDAOの公式契約はこの事件の影響を受けていません。GoPlusセキュリティチームの詳細な分析によると、今回の攻撃は2026年4月16日に発生し、その根本的な原因は第三者契約にビジネスロジックの欠陥が存在することです。トークンの転送が行われると、Dividend.setShares()関数がトリガーされ、契約内のシェアの記録が変更され、それがclaimReward()関数内の報酬計算に影響を与えました。攻撃者はこの脆弱性を利用して契約内の資産を枯渇させました。GoPlusは、上記の2つの契約コードに同じロジックの脆弱性が存在するため、これらのコードをフォークまたは再利用する開発プロジェクトは高い利用リスクにさらされていることを警告しています。関連する開発者には、コードの点検と修正を迅速に行い、スマート契約の安全性を確保するために継続的な監査メカニズムを導入することをお勧めします。

テザーのCEOパオロ・アルドイーノはXで、テザーがRhea Financeのハッカーアドレスにある329万USDTを凍結したと発表しました。パオロ・アルドイーノは特に「テザーはこの問題を重視している」と述べ、サークルがドリフトなどの最近の事件でハッカーがUSDCを利用して不正資金を移動する行為を制限していないことを暗に批判しました。

ビットコインのコア開発者であるJameson Loppは、将来的に発生する可能性のある量子コンピュータ攻撃に対して、約560万枚の長期間眠っているBTCをネットワークから「凍結」することを好むと述べています。これらのビットコインは10年以上移動しておらず、永久に失われている可能性があり、現在の価格で評価すると約4200億ドルになります。将来的に量子コンピュータの突破により古いアドレスの秘密鍵が解読されると、この資産が再び移転され、市場の激しい変動や信頼危機を引き起こす可能性があります。コミュニティは最近BIP-361提案を提出しましたが、この提案はまだ初期段階にあり、正式な推進策ではなく、「極端なリスク」に対する予備計画のようなものです。

安全研究機関 Elastic Security Labs は、金融および暗号通貨業界の人々を対象とした新しい社会工学的攻撃活動を明らかにしました。攻撃者は LinkedIn と Telegram でベンチャーキャピタル機関を装い、ターゲットに内蔵された悪意のあるペイロードを持つ Obsidian ノートブックを開かせ、これまで記録されていなかった Windows リモートアクセス型トロイの木馬 PHANTOMPULSE を展開します。この攻撃は、ソフトウェアの脆弱性を利用することなく、Obsidian の Shell Commands プラグインを悪用してノートブックが開かれると自動的に悪意のあるコードを実行します。macOS 側では、混乱した AppleScript ローダーと Telegram チャンネルを組み合わせてバックアップの指令制御サーバーとして使用し、Windows 側では Ethereum の取引データを利用してブロックチェーン化された C2 アドレスの解決を実現します。

暗号ウォレットZerionが明らかにしたところによると、北朝鮮のハッカーがAIを使用して長期的なソーシャルエンジニアリング攻撃を行い、会社のホットウォレットから約10万ドルを盗みました。Zerionは、ユーザーの資金、アプリケーション、インフラストラクチャに影響はないと確認し、予防措置としてウェブアプリケーションを自発的に無効化しました。Zerionはまた、攻撃者が一部のチームメンバーのログインセッションや認証情報、会社のホットウォレットの秘密鍵を取得したことを示し、AIがネットワークの脅威の運用方法を変えていると指摘しました。

市場の情報によると、ブロックチェーンセキュリティ会社Hackenが発表した報告書によれば、Web3プロジェクトはこの四半期にハッカー攻撃と詐欺によって4.645億ドルの損失を被った。その中で、フィッシングとソーシャルエンジニアリング攻撃が3.06億ドルを占め、主要な損失の原因となっている。1月に発生したハードウェアウォレットの詐欺は2.82億ドルの損失をもたらし、四半期の総損失の81%を占めている。スマートコントラクトの脆弱性による損失は8620万ドル、アクセス制御の失敗（キーやクラウドサービスが攻撃されたことを含む）による損失は7190万ドルである。報告書は、最大のセキュリティ事件は主にチェーン外の操作とインフラ層で発生し、従来の監査ではカバーしきれないことを指摘している。欧州の規制フレームワークMiCAとDORAは、セキュリティ監視とインシデント対応の要件を強化しており、世界の規制機関もリアルタイム監視と緊急対応基準を向上させている。

27歳のドイツ国籍のハッカー、Noah Christopherがタイのバンコクで逮捕され、彼はヨーロッパで最大74件のサイバー犯罪の逮捕状に直面しています。調査によると、この人物は2021年から2025年の間にランサムウェアプラットフォームおよび「サイバー犯罪サービス」（CaaS）システムを開発・運営した疑いがあり、分散型サービス拒否（DDoS）攻撃ツール（Fluxstress、Neldownerなど）を提供し、世界中の顧客にサイバー攻撃を実行させ報酬を受け取っていました。関連する身代金の支払いには暗号通貨やその他のデジタル資産が含まれ、国際的なサイバー犯罪活動を構成しています。現在、彼のビザは取り消されており、ドイツへの引き渡しを待って拘留されています。

Decrypt の報道によると、ビットコイン ATM オペレーターの Bitcoin Depot Inc. は 3 月 23 日にセキュリティ侵害事件に遭い、ハッカーが会社が管理するウォレットから約 50.9 ビットコインを盗み、366.5 万ドルの価値があるとされています。報告によれば、攻撃者は会社の IT システムに侵入し、デジタル資産決済口座の認証情報を取得したため、無許可で暗号通貨を移転することができました。これは少なくとも同社にとって既知の二度目のセキュリティ事件であり、2023 年にはハッカー攻撃を受け、5.8 万人のユーザーの個人データが漏洩しました。

派盾の監視によると、2.85億ドルの暗号通貨を盗んだDrift ProtocolのハッカーがSolanaネットワーク上でChangeNowに185枚のSOLを転送し、価値は1.5万ドルです。

チェーン上のアナリスト余烬の監視によると、約1時間前にResolv Labsが契約のアップグレードを通じてハッカーが保有していた3673万枚のUSRを焼却しました。ハッカーは鋳造の脆弱性を利用して無担保で8000万枚のUSRを鋳造し、そのうち約3400万枚のUSRをハッカーが売却して11,409枚のETH（2448万ドル）に換え、0x8ED...81Cアドレスに保管しました。さらに約4600万枚はResolvプロジェクトチームによって契約のアップグレードを通じてハッカーのアドレスから焼却されました。Resolvの今回の脆弱性利用事件の実際の損失は3400万ドルです。

Drift ProtocolはXプラットフォームで発表し、2026年4月1日の攻撃事件に関する初期調査の結果、この行動は北朝鮮政府に支持されたハッカー組織UNC4736（別名AppleJeusまたはCitrine Sleet）によって計画されたことが示されています。この組織は2025年秋から、仲介者を暗号会議に派遣したり、偽の量的取引会社を設立したりすることで、Driftの貢献者と6か月間の対面でのインタラクションを行い、悪意のあるコードベースやアプリケーションをダウンロードさせるよう誘導していました。現在、Driftはすべてのプロトコル機能を凍結し、損傷を受けたウォレットをマルチシグから除外しました。Mandiantは深層フォレンジック調査に参加するよう招待されています。調査によると、この行動のテストに使用されたオンチェーンの資金の流れは2024年10月のRadiant Capitalの攻撃者にまで遡ることができます。

DefiLlamaのデータによると、2026年第1四半期に、ハッカーは34の分散型金融（DeFi）プロトコルから合計1.686億ドルの暗号資産を盗み、2025年同期の15.8億ドルから大幅に減少しました。当時の高額な損失は主にBybitの14億ドルの盗難事件に起因しています。今四半期の最大の単一攻撃は1月に発生したStep Financeの秘密鍵漏洩事件で、約4000万ドルの損失がありました。次に、1月8日にTruebitがスマートコントラクトの脆弱性攻撃を受け、2640万ドルのイーサリアムが失われました。3番目は3月21日に安定コイン発行者Resolv Labsの秘密鍵が盗まれた事件です。

CoinDesk の報道によると、ブロックチェーン分析会社 Elliptic は、Drift Protocol が攻撃を受け、2.85 億ドルの損失を被ったと述べており、「複数の兆候」が北朝鮮支援の DPRK ハッカー組織を指し示しています。Elliptic は、オンチェーンの行動、マネーロンダリングの手法、およびネットワークレベルの信号を重点的に分析し、これらが以前の国家関連の攻撃と一致していることを示しています。Elliptic の報告書は次のように指摘しています。「もし確認されれば、これは Elliptic が今年追跡した 18 番目の DPRK 攻撃であり、これまでに 3 億ドル以上が盗まれています。」技術的な観点から、Elliptic はこの攻撃を「計画的で、入念に準備された」と説明しており、主要な攻撃の前に早期のテスト取引と事前に配置されたウォレットが存在していました。攻撃が実行された後、資金は迅速に統合され、クロスチェーンで移転され、流動性の高い資産に変換され、資金の出所を混乱させつつも制御を維持するための組織的で再現可能なマネーロンダリングプロセスが形成されました。この事件は 10 種類以上の資産タイプに関与しており、資金は Solana からイーサリアムおよび他のチェーンにクロスチェーンで移転され、クロスチェーンの追跡能力の重要性がさらに浮き彫りになっています。Drift Protocol は Solana ブロックチェーン上で最大の分散型永久契約取引プラットフォームであり、そのトークンはハッカー攻撃を受けて以来 40% 以上下落し、約 0.06 ドルとなっています。

Ledgerの最高技術責任者チャールズ・ギルメットは、Drift Protocolの今回の脆弱性を利用した攻撃手法が2025年のBybitハッカー事件と同様であると述べ、後者は北朝鮮に関連するハッカーと広く考えられていると指摘しました。ギルメットは、今回の攻撃はどのスマートコントラクトにも対して行われていないことを指摘し、攻撃者が長期間にわたりマルチシグ署名者のデバイスに浸透し、悪意のある取引を承認するように誘導したと述べました。署名者は常に自分が合法的な操作を承認していると思っていた可能性があります。彼は、問題の根源は人員と運営レベルのセキュリティの欠如にあり、コード自体ではないと強調しました。

@ai_9684xtpa の監視によると、Drift ハッカーは過去 5 分間で 245 万枚の USDC を 1195 枚の ETH に換えました。現在、4 つのアドレスが合計で 130,293 枚の ETH を保有しており、その価値は約 2.66 億ドルです。

攻撃者は、JavaScriptで最も人気のあるHTTPクライアントライブラリAxiosの主要メンテナーのnpmアクセス令牌を盗み、その令牌を利用してクロスプラットフォームのリモートアクセス型トロイの木馬（RAT）を含む2つの悪意のあるバージョン（[email protected]と[email protected]）を公開しました。これらはmacOS、Windows、Linuxシステムを対象としています。悪意のあるパッケージはnpmレジストリ上で約3時間生存した後に削除されました。セキュリティ会社Wizのデータによると、Axiosの週あたりのダウンロード数は1億回を超え、約80%のクラウドおよびコード環境に存在しています。セキュリティ会社Huntressは、悪意のあるパッケージが公開されてから89秒後に最初の感染を検出し、露出ウィンドウ期間内に少なくとも135のシステムが侵害されたことを確認しました。注目すべきは、Axiosプロジェクトは以前にOIDC信頼できる公開メカニズムやSLSAトレーサビリティ証明などの現代的なセキュリティ対策を導入していたにもかかわらず、攻撃者はこれらの防御を完全に回避しました。調査の結果、プロジェクトはOIDCを設定する際に従来の長期有効なNPM_TOKENを保持しており、npmは両者が共存する場合、デフォルトで従来のトークンを優先して使用するため、攻撃者はOIDCを突破することなく公開を完了できました。

ネットワークセキュリティプラットフォーム VECERT は 3 月 28 日に、ハッカーが PexRat の名の下に、ダークウェブで 150 万人のバイナンスユーザーの個人情報を含むデータベースを販売していることを明らかにしました。内容には名前、メールアドレス、電話番号、KYC 認証状況、ログイン IP アドレス、二段階認証方式などの敏感な情報が含まれています。分析によれば、今回の事件はバイナンス内部サーバーへの直接的な侵入ではなく、攻撃者が CAPTCHA 機構を回避し、クラックと自動化されたクローリング手法を通じてデータを取得したとのことです。影響を受けたユーザーは SIM カードのハイジャックやフィッシング攻撃の高リスクにさらされています。この事件が発生した際、バイナンスの機関 OTC 取引業務は急成長しており、今年の 1 月から 2 月の間に取引量は 2025 年の年間総量の 25% に達しました。これは 1 月に 42 万組のアカウント認証情報が漏洩した後、バイナンスが再び直面するデータセキュリティ危機です。