攻撃

TenArmorAlert の監視によると、イーサリアム上の Ambient Finance が攻撃を受け、約 11.06 万ドルの損失を被りました。

SyscoinはXプラットフォームで、最近の50億枚のSYSトークンに関わるクロスチェーンブリッジのセキュリティ事件についてコミュニティに初期更新を提供した。現在、ブリッジサービスは一時停止しており、チームは検証の問題を調査し修正している。攻撃者はクロスチェーンブリッジプロセスの検証の脆弱性を利用し、UTXO側で無許可のSYS出力を作成した。影響を受けた資金は移動および分割されており、チームは取引所およびエコシステムパートナーと調整し、汚染されたUTXOが入金、取引、またはさらなる配布されるのを防いでいる。チームは修正案を特定しており、クロスチェーンブリッジが復旧するまでユーザーに対して相互作用を行わないことを推奨している。

Specter の監視によると、1 人の rETH 保有者の 13 のウォレットが 6 月 5 日に攻撃を受け、合計で約 450 万ドルの資産が失われましたが、被害者は攻撃者がさらに資金を移動する前に問題を迅速に発見し、約 470 万ドルの残りの資産を移動しました。これらのウォレットは以前は数年間活動がなく、現在攻撃者は盗まれた資金の明確な操作を開始しています。

慢雾の監視によると、BNB Chain上のDTXT/USDT取引ペアが攻撃を受け、約35,041枚のUSDTが損失しました。攻撃の根本原因は、DTXTコントラクトがUSDT残高と取引ペアの準備金を比較して操作の種類を判断することにあります。攻撃者は取引ペアアドレスに少量のUSDTを直接転送し、大量のDTXT売却が流動性の追加と誤判定されることで、売却手数料のロジックを回避しました。攻撃者はMoolahから107.74万枚のUSDTをフラッシュローンで借り入れ、約3.5万枚のUSDTを利益として得ました。

CertiK Alert の監視によると、Gravity Bridge の攻撃者が再び Tornado Cash に 1180 ETH を預け入れ、約 206 万ドルの価値があります。この攻撃事件では合計 2600 ETH が盗まれ（攻撃発生時の価値は約 540 万ドル）、そのうち 2020 ETH が 2 つの EOA アドレスを通じて Tornado Cash に預け入れられ、残りは分散して中央集権型取引所に移されました。

TenArmorAlert の監視によると、BSC チェーン上の BY トークンが攻撃を受け、約 8.84 万ドルの損失が発生しました。

The Blockの報道によると、Web3セキュリティ会社Immunefiが最新の『2026エコシステム脆弱性監査報告書』を発表し、DeFiプロトコルがハッカー攻撃によって被った損失は2022年のピーク時の262億ドルから74%減少し、2025年には約68.03億ドルに達したことが示されています。報告書は、単一の攻撃による中央値の損失も同様に大幅に減少し、2022年の600万ドルから2025年の150万ドルに減少したことを指摘しており、全体的なセキュリティレベルの改善を反映しています。同時に、ブリッジ攻撃（bridge exploits）がDeFiの総損失に占める割合は2022年の73%から2025年には3%に大幅に減少し、フラッシュローン攻撃の割合も54%から1%未満に減少しました。インフラレベルのリスク（例えば、秘密鍵の漏洩やデータベース攻撃）の割合も2022年の30.7%から2025年の10.3%に減少しました。Immunefiは、これはオラクル設計、再入攻撃防護、アクセス制御基準の継続的な最適化を反映しており、DeFiエコシステム全体が「より安全になりつつある」ことを示しています。しかし、報告書は2025年の損失がわずかに回復し68.03億ドルに達したことも指摘しており、これはマルチチェーンシステムの複雑性の上昇と少数の高い重大性の事件に起因しています。同時に、独立したセキュリティ事件の数は依然として増加しており、攻撃面が引き続き拡大していることを反映しています。

慢雾の監視によると、IronWormという名前の新型Rustサプライチェーンマルウェア活動が、悪意のあるnpmパッケージを通じて開発者環境とWeb3エコシステムを攻撃しています。潜在的な攻撃行為には、認証情報の窃取、ウォレットのニーモニックとパスワードの盗取、GitHubリポジトリの改ざん、悪意のあるパッケージの公開、CI/CDの機密漏洩、Torベースのコマンドコントロール、eBPFルートキットの隠蔽が含まれます。セキュリティチームは、リポジトリ内のリバートコミット、疑わしいブランチ、予期しないビルドフック、およびclaude、dependabot、renovate、またはgithub-actionsなどの自動化されたアイデンティティによるコミットを監査するべきです。影響を受けたパッケージのバージョンを削除または廃止し、クリーンなバージョンを公開し、漏洩したすべてのキーとトークンをローテーションし、GitHub Actionsのコンポーネントをレビューし、クリーンなイメージから損傷を受けた可能性のある開発またはCIシステムを再構築することをお勧めします。

TenArmorAlert の監視によると、BSC チェーン上の ATM トークンが攻撃を受け、約 24.35 万ドルの損失が発生しました。

PeckShield (@PeckShieldAlert) によると、約 19 時間前に BNB Chain 上の TesseraDao (@TesseraDao) が攻撃を受け、ハッカーが悪意を持って 9900 万 TSR を鋳造し、即座に売却したため、TSR の価格が 99% 下落しました。攻撃者はその後、得た TSR を約 250 万ドルの USDT に交換し、資金をクロスチェーンでイーサリアムに移動させ、現在は TornadoCash を通じて 1,285.5 ETH のマネーロンダリング操作を完了しています。

慢雾 SlowMist は安全警報を発表し、@redhat-cloud-services に関連するソフトウェアパッケージをターゲットとした活発な npm サプライチェーン攻撃を検出しました。現在、31以上のパッケージが影響を受けていることが確認されており、週のダウンロード数は約 116,000 回、300 以上の GitHub リポジトリに盗まれた認証情報が存在します。この攻撃手法は以前の "Shai-Hulud" npm 攻撃と非常に類似しており、認証情報の窃取、悪意のあるリポジトリの作成、自動化された秘密の漏洩が含まれます。現在も新たな疑わしいリポジトリが継続的に出現しており、攻撃が続いていることを示しています。開発者は引き続き感染しています。潜在的な危害には、GitHub/npm トークンの盗難、AWS/GCP/Azure クラウド認証情報の漏洩、SSH キーと Kubernetes 秘密の収集、ローカル環境およびウォレットデータの漏洩、悪意のあるリポジトリの作成および持続的な操作、さらにはトークンが取り消された後に破壊的な行動を引き起こす可能性があります。影響を受けた @redhat-cloud-services パッケージのバージョンを直ちに削除またはダウングレードし、CI/CD ワークフローと依存関係のインストールを全面的に監査し、すべての GitHub、npm、クラウドサービス、SSH およびウォレット関連のキーをローテーションし、ログを保持し、クリーンなイメージから露出した開発者マシンまたは Runner を再構築し、常に高い警戒を維持することをお勧めします。

派盾の監視によると、UXLinkの攻撃者はWBTCをETHに交換しており、現在92枚のWBTC（640万ドル）を約3248枚のETHに交換し、Tornado Cashに1500枚のETHを預け入れました。UXLinkは2025年9月22日にマルチシグウォレットが侵害され、4400万ドル以上の損失を被りました。

DeFi プロトコル Radiant は、2024 年 10 月のハッキングを経て、18 ヶ月の継続的な努力の後、DAO は運営を続けるための実行可能な道がなくなり、段階的に「運営停止（sunsetting）」の段階に入ることを発表しました。現在、プロジェクトには資金回収の進展がなく、新たな資本注入もなく、正常な運営を維持するための資金と発展の余地が不足しているため、責任ある長期運営を続けることができません。

BlackHartによると、DeFiプロジェクトFluidはEthereum上での報酬配布メカニズムが悪用され、約215,000ドルの資産が移動されました。Fluidは、一つの鍵で開始し、もう一つの鍵で承認するMerkle報酬リストメカニズムを採用しており、攻撃者は同時に二つの運営秘密鍵を掌握し、自身にのみ報酬を配布するリストを提出して承認し、その後空の証明を用いて受け取りを完了しました。盗まれた資産は、112,883枚のFLUID、47,903枚のGHO、少量のcbBTCを含む3つの報酬配布器から来ており、その後ETHに交換され、Tornado Cashを通じて移転されました。Fluidの貸出市場、金庫、DEXおよびユーザーの預金は影響を受けておらず、チームは約10時間以内に損傷した鍵を交換し、残りの報酬資金を移転しましたが、公開された説明では報酬の受け取りが一時停止されているとだけ述べられ、秘密鍵の漏洩や損失の詳細には言及されていません。

ブロックチェーンセキュリティ機関 PeckShield は警告を発し、Gnosis Pay が進行中のセキュリティ攻撃を受けていると述べています。同時に、Gnosis の共同創設者 Martin Köppelmann もユーザーに対し、保有している GNO および EURe 資産を直ちに引き出すよう呼びかけ、潜在的なリスクを低減するよう促しています。市場分析によると、Gnosis Pay は支払いシーンとオンチェーン資産をつなぐ重要なインフラであり、資金が盗まれたりプロトコルの脆弱性が利用された場合、Gnosis GNO およびユーロステーブルコイン EURe に短期的な売圧がかかり、さらに Gnosis エコシステム関連プロジェクトの市場心理に影響を与える可能性があります。現在、公式は攻撃の規模、損失額、具体的な技術的詳細を発表しておらず、事件はまだ進行中です。関連資産を保有しているか、Gnosis Pay サービスを利用しているユーザーは、公式の今後の発表に注意を払い、リスクエクスポージャーを適時評価する必要があります。

ブロックチェーンセキュリティ機関 PeckShield は警告を発し、Gnosis Pay がセキュリティ攻撃を受けていると述べました。同時に、Gnosis の共同創設者 Martin Köppelmann もユーザーに対し、保有している GNO および EURe 資産を直ちに引き出すよう呼びかけ、潜在的なリスクを低減するよう促しました。市場分析によると、Gnosis Pay は支払いシーンとオンチェーン資産をつなぐ重要なインフラであり、資金が盗まれたりプロトコルの脆弱性が利用されたことが確認されると、Gnosis GNO およびユーロステーブルコイン EURe に短期的な売り圧力をもたらし、さらに Gnosis エコシステム関連プロジェクトの市場心理に影響を与える可能性があります。現在、公式は攻撃の規模、損失額、具体的な技術的詳細を発表しておらず、事態はまだ進行中です。関連資産を保有しているか、Gnosis Pay サービスを利用しているユーザーは、公式の今後の発表に注意を払い、リスクエクスポージャーを適時評価する必要があります。

TenArmorAlert の監視によると、BSC チェーン上の AROS トークンが攻撃を受け、約 29.53 万ドルの損失を被りました。

PeckShield の監視によると、5 月の暗号分野では合計 40 件の重大なハッキング事件が発生し、総損失は約 8170 万ドルで、4 月の 6.47 億ドルから 87.4% 減少しました。その中でクロスチェーンプロトコルは依然として主要な攻撃対象であり、8 件の重大なクロスチェーン攻撃が 3328 万ドルの損失を引き起こし、当月の総損失の 41% を占めています。損失が大きかった事件には、SUPERFORTUNE AI（約 1518 万ドル）、Verus-Ethereum Bridge（約 1158 万ドル、すでに返金済み）、THORChain（約 1000 万ドル）などがあります。

Cointelegraph の報道によると、CertiK のデータは、5 月の暗号プラットフォーム攻撃による損失が 6830 万ドルに減少し、4 月の 6.5 億ドルから約 90% 減少したことを示しています。5 月は 2026 年の中で損失が 1 億ドル未満の月の 3 番目となりました。そのうち約 260 万ドルはフィッシング攻撃から来ており、約 940 万ドルの盗まれた資金は回収または返還されました。5 月の最大の単一損失は Verus Protocol のクロスチェーンブリッジ攻撃からで、盗まれた金額は 1150 万ドルです；THORChain が 2 位で、盗まれた金額は 1010 万ドルです。コードの脆弱性は最も損失の大きい攻撃タイプで、約 4500 万ドル、全体の 66% を占めています；ウォレットまたは秘密鍵の漏洩は 1370 万ドルの損失を引き起こしました。クロスチェーンブリッジは主要な攻撃対象で、損失は 2860 万ドル、全体の 42% を占めています。DeFiLlama のデータによると、5 月には合計 29 件の事件が発生し、そのうち 7 件は秘密鍵の漏洩に関与しています。