2025年上半期に121件の暗号資産ハッキングで23億7000万ドルの被害：SlowMist

SlowMist の 2025 年中期レポートによると、2025 年上半期にブロックチェーン セキュリティdentにより 121 件の攻撃が発生し、23 億 7,300 万ドルの損失が発生したことが明らかになりました。.

データによれば、 DeFi プロトコルが依然として主な標的である一方、取引所の侵害が最大の個別損失を生み出しており、暗号インフラの根深い脆弱性が浮き彫りになっている。.

ブロックチェーンセキュリティ分野は複雑なパターンを呈している

2025年上半期には、ブロックチェーンネットワーク全体で121件のセキュリティdentが発生しました。これは、2024年の同時期に報告された223件のdentから減少したものです。ただし、総損失は前年同期の14億3,000万ドルと比較して約65.94%増加し、23億7,300万ドルに達しました。.

最も標的となったネットワークは Ethereum、 攻撃により3859万ドルを失った。 Solana 580万ドル、 Binance スマートチェーンは549万ドル相当の資金を盗まれた。これらのネットワークが標的となったということは、流動性が高く、膨大なユーザー基盤を持っていることを示唆している。

DeFi プロトコルはセキュリティ攻撃による被害が最も大きく、報告件数の76.03%にあたる92件のdentが発生しました。攻撃による損失は約4億7,000万ドルで、2024年上半期の6億5,900万ドルから減少しました DeFi関連の損失が28.67%減少したことは、分散型金融システムにおけるセキュリティ機能の改善が進んでいることを示しています。.

中央集権型取引所への攻撃は比較的少なく、報告件数は11件でした。それでも、攻撃による損失は総額18億8,300万ドルと、不釣り合いに巨額でした。最も深刻な被害は Bybit、1件で約14億6,000万ドルの損失が発生し、大規模取引所のリスクの高さを浮き彫りにしました。

アカウント侵害は主要な攻撃経路として浮上し、42件のセキュリティdentが発生しました。スマートtracの脆弱性がこれに続き、35件の個別の侵害が発生しました。2件のdentで損失額が1億ドルを超え、上位10件の攻撃による損害額は合計で20億1,800万ドルに上りました。.

詐欺の手口は複数の攻撃ベクトルにわたって変化した

SlowMistは 、2025年前半にはインフラと直接ユーザーを狙った多方向詐欺が多発したと述べています。

EIP-7702認証アクションを狙ったフィッシング攻撃が trac化し、攻撃者は新たな委任tracメカニズムを悪用してウォレットから資金を流出させました。Inferno Drainerグループはこれらの手法を用いて146,551ドルを盗み出し、ユーザーを騙して正当なtracに署名させ、その後、その契約を乗っ取って悪意のある目的に利用しました。.

ディープフェイクは、仮想通貨インフルエンサーや取引所幹部をモデルにしたリアルな動画や音声素材を作成したため、信頼に基づく詐欺の主要なツールの一つとなっています。ディープフェイクは偽の投資詐欺に取って代わり、従来の検証プロセスを回避しました。.

香港とシンガポールの警察当局は、ディープフェイク技術を使った複数の詐欺組織を発見した。そのうちの一つは、さまざまなアジア諸国の被害者を標的とし、3,400万香港ドルを超える損失をもたらした。.

この期間中、Telegram上でスパムによるセキュリティ保護詐欺が蔓延しました。主に、セキュリティ検証演習を装った偽のクリップボードアクティビティを通じてユーザーを標的としていました。この攻撃により、被害者はPowerShellスクリプトを実行し、リモートアクセス型トロイの木馬を展開させ、デバイスを乗っ取って仮想通貨残高を不正に取得しました。.

悪意のあるブラウザアドオンは、 Web3セキュリティツールを装い、仮想通貨ユーザーを標的にし続けています。Osiris拡張機能の例は、攻撃者が正規のウェブサイトからダウンロードリンクを乗っ取り、正規のソースの外観や操作性を変えることなく、ソフトウェアを悪意のある代替品に置き換える様子を示しています。

LinkedInの採用フィッシングは通常の求人詐欺の域を超え、ハッカーはブロックチェーンプロジェクトを装って暗号資産に感染したコードリポジトリを拡散しました。ソーシャルエンジニアリングを駆使したCoinbaseユーザー攻撃では、社内の従業員がセキュリティ侵害を受け、KYC情報を漏洩しました。.

資産回収と規制措置は進展を示している

資産凍結および 回収作戦が 2025年上半期には、 EthereumEthereumEthereum EthereumEthereumEthereumEthereum EthereumEthereum アドレスを凍結しました。これらの連携作戦は、主要なステーブルコインプラットフォームにおける犯罪収益の流れを阻止する上で効果的でした。

9件の大規模dentにおいて、攻撃後に損失の全部または一部が回収されました。これらのdentで盗まれた金銭総額は約17億3000万ドルで、そのうち約2億7000万ドルが返還または凍結されました。これは11.38%の回収率に相当し、近年と比較して比較的高い水準です。.

SlowMistのInMist Lab脅威インテリジェンスグループは、資産防御作戦を支援し、6か月間にわたり約1,456万ドル相当の不正に盗まれた資産の凍結に貢献しました。KiloEx の侵害事件 は、連携した対応が成功した好例であり、セキュリティチームとプロジェクト関係者の協力により、盗まれた844万ドル相当の資産がわずか3.5日で全額回収されました。

各国政府が暗号資産取引所やステーブルコインに関する具体的な基準を導入するにつれ、様々な法域で世界的な規制枠組みが整備されました。米国ではGENIUS法が施行され、香港では8月1日にステーブルコイン条例が施行されました。.

欧州連合（EU）加盟国は、匿名の暗号資産アカウントと取引所外のコイン取引を禁止するマネーロンダリング対策規則（AMLR）を施行しました。これらの措置により、暗号資産金融規制の世界的なネットワークがより高度化し、規制当局と主要プラットフォーム間の連携が強化されたことで、オンチェーン犯罪に対する抑止力が強化されました。.