2025 年から 2026 年にかけてのブロックチェーン経済の力強い発展は、前例のない投資機会をもたらしましたが、同時にこのエコシステムは国際的なサイバー犯罪者の重要な標的となっています。 Tan Phat Digital の観察によると、統計は憂慮すべき状況を示しています。ハッカー グループの専門化と人工知能 (AI) に基づく攻撃技術の台頭を反映して、違法行為によって失われたデジタル資産の総額が記録に達しています。暗号通貨ウォレットが頻繁にハッキングされる理由を理解するには、技術プロセスの欠陥と人間の心理の脆弱性の両方を考慮する必要があります。
2026 年のサイバーセキュリティの状況は、高度なセキュリティ システムと、北朝鮮の Lazarus のような国家支援のハッカー グループを含む組織犯罪ネットワークとの対立によって形成されます。 Tan Phat Digital の分析によると、攻撃の数はわずかに減少したものの、インシデントあたりの経済的損失のレベルは急増しており、高価値かつ流動的な標的への移行を示しています。
典型的なブロックチェーン セキュリティ指標 (2024 ~ 2025 年の期間)
ハッキングによる損失総額: 約 20 億 1,000 万から増加米ドル(2024 年)から 33 億 5,000 万米ドル(2025 年)となり、66.6% の成長に相当します。
不正アドレスによって受け取られた価値: 572 億米ドルから 1,540 億米ドルに急増し、169.2% という大幅な増加となりました。
被害額北朝鮮のハッカー グループ 原因:被害額は 13 億 3,000 万ドルから 20 億 2,000 万ドルに増加し、51.8% 増加しました。
秘密鍵漏洩による被害率:被害総額の 15.0% から 23.3% に増加し、ユーザー管理の脆弱性がますます深刻化していることを示しています。
詳細はこちら: ブロックチェーンは安全ですか?ブロックチェーン セキュリティ分析 2026
1.フィッシング: 新世代フィッシング攻撃の優位性
フィッシング攻撃は、もはや不格好な電子メールや大ざっぱな偽 Web サイトに関するものではありません。 2026 年には、フィッシングは AI に最適化された産業となり、個人ユーザーに対する攻撃のピーク時に盗まれた全資金の 93.5% を占めています。現在、攻撃者は大規模な言語モデルを使用してパーソナライズされたフィッシング シナリオを作成しており、被害者が交換からの実際のメッセージとハッカーの罠を区別することが困難になっています。
サービスとしてのフィッシング (PaaS) モデルと AI の役割
最新のツール プラットフォームの出現により、サイバー犯罪者の参入障壁が低くなりました。これらのプラットフォームは、「初心者向けのフィッシング」ツールキットを提供しています。これには、インターフェイスを被害者のデバイスに自動的に適応させ、ブラウザ検出メカニズムをバイパスする数百の偽 Web サイト テンプレートが含まれています。
AI の統合により、なりすまし詐欺は 2024 年と比較して 1400% 増加しました。AI は、攻撃者が被害者のオンチェーン取引履歴を分析して、保留中の取引の再検証の要求やアナウンスなどの「ジャストインタイム」メッセージを配信するのに役立ちます。特定のトークン所有者のために予約されたエアドロップ。これにより、AI を利用した詐欺による資金抽出効率は従来の方法の 4.5 倍になります。
アドレスポイズニング手法
2026 年に仮想通貨ウォレットが頻繁にハッキングされる理由の 1 つは、トランザクション アドレスを確認する際の主観性です。アドレス ポイズニング手法は、ユーザーのトランザクション履歴からアドレスをコピーする習慣を利用します。
従来のフィッシングの特徴: 主な目的は、偽の Web サイト、電子メール、SMS メッセージなどのツールを通じてシード フレーズまたは秘密キーを盗むことです。これを防ぐ最善の方法は、どのインターフェースにも秘密キーを絶対に入力しないことです。
アドレス ポイズニングの特徴: 目的は、ユーザーをだまして間違ったアドレスに送金させることです。ハッカーは、低価値またはゼロ価値のオンチェーントランザクションを実行して、偽のアドレス(最初と最後の文字が実際のウォレットと同じ)をトランザクション履歴に追加します。これを回避する方法は、入金を確認する前にアドレスの各文字を注意深く確認することです。
詳細: ウォレット内の秘密キーとパスフレーズとは何ですか?デジタル資産の自己管理に関する指示
2.スマート コントラクトとプラットフォーム インフラストラクチャの脆弱性
被害者の数はフィッシングが大半を占めていますが、スマート コントラクトのソース コード (スマート コントラクト) と集中型取引所インフラストラクチャ (CeFi) の欠陥が最大の経済的損失を引き起こします。 2025 年には、ハッカーは単純なロジック エラーの悪用から、エコシステムの流動性の「ボトルネック」を狙った多層攻撃に移行するでしょう。
Bybit の惨事と集中インフラによるリスク
2025 年 2 月の Bybit 取引所への攻撃は、最大規模のプラットフォームでも脆弱になる可能性があることを示す典型的な例です。最大15億ドルの損失が発生し、これはそれまでのブロックチェーン史上最大のハッキングでした。攻撃者は取引所のイーサリアム コールド ウォレット システムへの侵入に成功しました。この技術的偉業は、内部関係者の介入や鍵管理プロセスの重大な漏洩がなければ不可能であると考えられてきました。
この出来事は、脆弱性がコードだけでなく人間の操作プロセスにも存在するという事実を浮き彫りにしました。 APT ハッカー グループは、トランザクション署名デバイスを制御するために、数か月にわたるソーシャル エンジニアリング キャンペーンを通じて高いアクセス権を持つ従業員を定期的にターゲットにしています。
2025 ~ 2026 年の典型的な攻撃
Bybit 取引所 (2025 年 2 月): 被害額は 14 億 6,000 万ドル。主な原因は、コールド ウォレットとサプライ チェーンへの侵入でした。
Cetus プロトコル (2025 年 5 月): 被害額は 2 億 3,000 万ドル。原因は、Sui ネットワーク上の契約ロジック エラーでした。
バランサー (2025 年 11 月): 被害額は 1 億ドル。原因は計算精度の低下でした。
Phemex (2025 年 1 月): 被害額は 6,910 万ドル。原因はホット ウォレット システムへの攻撃でした。
Truebit (2026 年 1 月): 被害額は 2,640 万ドル。原因はコントラクト内のオーバーフロー エラーによるものです。
3.漏洩および安全でない秘密キーの保管場所
なぜ暗号通貨ウォレットが頻繁にハッキングされるのかという質問に対するほとんどの答えは、1 つの根本原因を示しています。それは、秘密キーと秘密回復フレーズの保護に失敗していることです。 2025 年には、ブロックチェーンで失われた価値の 80% 以上が、秘密鍵の漏洩または署名エラーによるものであると判明します。
デジタル資産管理の間違い
ユーザーは基本的だが致命的なストレージ エラーを頻繁に犯しており、Tan Phat Digital は定期的に警告しています。
クラウド ストレージ: Google フォト、iCloud、またはメッセージで送信します。最新のマルウェアには、画像ファイルを自動的にスキャンして秘密のキーワードを検索する機能があります。
大きな残高にはホット ウォレットを使用する: ハードウェア ウォレットをサポートせずに、ブラウザ ウォレットで大きな資産を維持します。クリップボードのコンテンツ変更攻撃により、ユーザーがハッカーのアドレスに誤って署名する可能性があります。
署名許可の脆弱性 (EIP-2612): ハッカーはユーザーを騙してオフチェーン メッセージに署名させ、秘密キーを直接必要とせずにトークン全体を使用する許可をサイレントに付与します。
4.ソーシャル エンジニアリングと犯罪心理学
技術的なセキュリティ システムの回復力が高まるにつれ、サイバー犯罪者は最も弱い部分である人間への攻撃に注目するようになりました。ソーシャル エンジニアリングは、2025 年の損失総額の 12% を占めますが、組織の標的に対して最も高い成功率を誇る手法です。
Tan Phat Digital は、LinkedIn のテクノロジー採用担当者になりすまして従業員を騙し、技術テストを通じてマルウェアをインストールさせる高度なフィッシング キャンペーンを文書化しています。さらに、AI を利用して長期間にわたって信頼を築く「豚解体」詐欺も、個人投資家に数十億ドルの損失をもたらしています。
5.ホット ウォレットとサードパーティ アプリケーションによるリスク
ホット ウォレットは、インターネットに常時接続しているため、常に危険にさらされています。攻撃は多くの場合、ブラウザの脆弱性や、内部から悪意のあるコード (バックドア) がインストールされた拡張機能を通じて行われます。
一般的な種類の技術的リスク
マルウェア: 悪意のあるファイルまたは Web サイトを介して感染し、キーストア ファイルを盗み、キーストロークを記録します。
ブラウザのエクスプロイト (ブラウザ エクスプロイト): Chrome/Brave などのブラウザの脆弱性を利用してウォレットをハイジャックします。
偽の拡張機能: Chrome ストア上の偽のアプリケーションは、ユーザーを騙してシード フレーズを入力させ、ハッカーに直接送信します。
無制限の承認: スマート コントラクトに無制限の使用権を付与する習慣 スマート システムにより、プロジェクトがハッキングされるか、プロジェクト オーナーがコミットすると、静かに資産が引き出されます。詐欺。
6. 2025 ~ 2026 年の新たな攻撃パターン
2026 年のデジタル資産市場は、暴力とインフラストラクチャ攻撃の巧妙化という現実のリスクに直面しています。
物理的強制攻撃 (レンチ攻撃):誘拐の増加と、被害者に資金送金を強要する暴力の使用。 Tan Phat Digital は、ユーザーが自分の資産に関する情報をあまり開示しないことを推奨しています。
MEV およびサンドイッチ攻撃: 高速ボットは価格高騰を利用してユーザーの大規模取引から利益を上げます。
DNS および BGP ハイジャック: ハッカーは大規模プロジェクトのドメイン名を制御し、ユーザーが正しいアドレスにアクセスできるようにしますが、実際には会社のアドレスに接続しています。サーバー。ハッカー。
7.量子コンピューティングによるリスクと従来の暗号技術の崩壊
2026 年、量子コンピューティングは現実の脅威となっています。攻撃者は、将来資産を押収するために「今すぐ収穫し、後で復号化する」戦略の実装を開始します。
スクリプト タイプ別の量子リスク レベル
P2PK / P2MS: ブロックチェーン上で公開キーが直接公開されるため、長期的には非常に高いリスク レベル。
P2TR (Taproot): 公開キーの構造がトランザクション出力で公開されるため、高レベルのリスク。
P2PKH / SegWit: 公開キーはユーザーがお金を支払ったときにのみ公開されるため、中レベルのリスク。
アドレスの再利用: 公開キーは最初に支出してから永続的に公開されるため、非常に高レベルのリスク。量子コンピュータ。
8.暗号セキュリティと詐欺に関する 10 の典型的なケーススタディ (2025 ~ 2026 年)
市場の熾烈な性質をより深く理解するために、Tan Phat Digital は分析された脆弱性を示す 10 の典型的なケースをまとめました:
Bybit (14 億 6000 万ドル - 2025 年 2 月): これは最大のイーサリアム コールドです。歴史に残るウォレット攻撃。ハッカー Lazarus (北朝鮮) は、取引所従業員のデバイスに悪意のあるコードをインストールすることで侵入に成功し、内部操作であると思い込ませて送金注文をさせました。
AntEx (10,000 Billion VND - 2025 年 12 月): ベトナムで最も衝撃的な詐欺には、ステーブルコイン VNDT が関係しています。伝えられるところによると、このプロジェクトには実際の担保がなかったため、トークンの 99.9% の価値が切り下げられ、数万人の投資家が失われました。
Libra トークン (2 億 5,100 万米ドル - 2025 年): 開発チームが突然プロジェクトから流動性を枯渇させて逃亡し、無価値なトークンを投資家に残した大規模な「ラグプル」。
Cetus プロトコル (2 億 3,000 万ドル - 2025 年 5 月): ソース コードの論理エラーによる、Sui ネットワーク上の流動性プロトコルへの攻撃。資産を凍結するためのバリデーターのタイムリーな介入のおかげで、約 1 億 6,200 万ドルが回収されました。
バランサー (1 億米ドル - 2025 年 11 月): ハッカーは安定したプールの精度損失を悪用することに成功し、非常に低コストでシステム資産を抽出できるようになりました。
Nobitex (8,170 万米ドル - 2025 年): イラン最大の取引所がインフラ システムをハッカー集団に攻撃され、多額の資産損失につながり、中東地域のサイバーセキュリティに対する懸念を引き起こしました。
Phemex (6,910 万米ドル - 2025 年 1 月): この攻撃は、この取引所のホット ウォレット システムを直接標的にしており、北朝鮮のプロのハッカー グループに関連していると判断されました。
BingX (4,400 万米ドル - 2025 年 9 月): もう 1 つの集中型ホットウォレット ハッキングで、2025 年 9 月の為替損失総額の 37% を占めました。
Truebit (2,640 万米ドル - 2026 年 1 月): ハッキングは 2026 年初めに発生しました。購入契約のオーバーフロー エラーが原因で、ハッカーが価格を操作してゼロに近い価格でトークンを購入できるようになります。
トラスト ウォレット (2025 年 12 月): 「クリスマス強盗」ハッキングでは、ハッカーがウォレットのブラウザ拡張機能にバックドアをインストールすることに成功し、わずか数時間でユーザーの資金を使い果たしたことが波紋を呼びました。
包括的な MetaMask ウォレット セキュリティおよびテスト ガイド
資産を保護するために、Tan Phat Digital は包括的なセキュリティ テスト プロセスを推奨します 定期的なセキュリティ:
承認権限の取り消し (Revoke): Revoke.cash などのツールを使用して、不要なアプリケーションの使用許可を取り消します。
ハードウェア ウォレットを使用する: 接続MetaMask を Ledger または Trezor に送信して、秘密鍵が常にオフラインであることを確認します。
デバイスの衛生管理: トランザクションには別のブラウザを使用し、定期的にマルウェアをスキャンします。
スイーパー ボットに感染した場合は資産を救出する
ウォレットが資金を自動的に引き出すボットに感染した場合、追加のガス料金を手動で追加する必要があります。無意味。専門家のTan Phat Digital氏によると、 唯一の解決策はフラッシュボットを使用することです。この技術により、ガスの入金と出金のトランザクションを同じブロックにパッケージ化し、バリデーターが同時に処理できるようになり、途中でボットが介入するのを防ぐことができます。ただし、このプロセスには評判の良いホワイトハット ハッカーのサポートが必要です。
クリプト ウォレット セキュリティ 2026 に関するよくある質問 (FAQ)
以下は、最新のセキュリティ データに基づいて Tan Phat Digital の専門家が回答した最も一般的な 10 の質問の概要です。
なぜフィッシング攻撃はこれほど成功しているのですか? 2026 年には? この成功は、AI を使用したフィッシングの産業化によってもたらされます。 AI は、Phishing-as-a-Service モデルを通じて、犯罪者がパーソナライズされたスクリプトや洗練された偽の Web サイトを作成するのに役立ちます。 Tan Phat Digital によると、AI を利用した詐欺の金銭抽出効率は従来の詐欺の 4.5 倍です。
Bybit ハッキングの何が特別で、投資家が心配する必要があるのはなぜですか? これは、コールド ウォレットから 14 億 6000 万ドルが引き出された史上最大の仮想通貨盗難です。恐ろしい点は、ハッカーはブロックチェーンのソース コードを攻撃するのではなく、ソーシャル エンジニアリングを使用して取引所のスタッフをだまして取引を承認させ、人的ミスが最も弱いリンクであることを示していることです。
私のウォレットが「スイーパー ボット」に感染しているかどうかはどうすればわかりますか?最も明確な兆候は、ウォレットにロードされたばかりのお金 (通常はガス料金用のネイティブ トークン) がわずか数秒ですぐに別のアドレスに転送されることです。これは、秘密キーが公開され、ハッカーが残高を監視する自動コードを実行していることを示しています。
財布からお金を削除した後、お金を取り戻すことはできますか? それは実際には非常に困難です。ブロックチェーントランザクションは、一度確認されると元に戻すことはできません。マルチチェーンのマネーロンダリングネットワークの複雑さにより、2025年の資産回収率は約4.2%にとどまるだろう。
アドレスポイズニングはどのように機能しますか? ハッカーはソフトウェアを使用して、ウォレットと同じ最初と最後の文字を持つ「バニティ」アドレスを作成し、ゼロ値のトランザクションをウォレットに送信します。目的は、この偽のアドレスを取引履歴に表示させ、次回の送金時に誤ってコピーさせることです。
EIP-7702 は個人ウォレットのセキュリティにどのような影響を与えますか? EIP-7702 により、EOA ウォレットは一時的にスマート コントラクト機能を利用できるようになります。ただし、フィッシングによって悪意のある認証に誤って署名すると、ハッカーがアカウントを完全に制御し、たった 1 回の実行ですべての資産を流出させる可能性があります。
コールド ウォレットの使用は 100% 絶対に安全ですか? 現在最も安全な方法ですが、ユーザーが誤って悪意のあるトランザクション メッセージに署名したり、秘密の回復フレーズ (シード フレーズ) を公開したりすると、コールド ウォレットには依然としてリスクが伴います。さらに、ハードウェアのサプライチェーンからのリスクも考慮すべき要素です。
量子コンピューターが実際にビットコインを脅かしたのはいつですか?ビットコインはすぐには崩壊しませんでしたが、2026 年に金融機関はこのリスクを考慮し始めました。流通しているビットコインの 20 ~ 50% は古いアドレスまたは再利用された公開鍵にあると推定されており、これらは将来、量子コンピューターによる復号の簡単なターゲットとなります。
身体的強制攻撃 (レンチ攻撃) とは何ですか? これは、暴力、誘拐、または住居侵入を利用して、被害者に電子マネーの直接送金を強制する犯罪の一形態です。仮想通貨投資家をターゲットにした物理的攻撃の数は、2025 年に倍増しました。
AI は仮想通貨詐欺の様相をどのように変えましたか? AI は、多言語コンテンツを自動化し、ディープフェイク (音声、ビデオ) を使用して親族やサポート スタッフになりすますことで、詐欺のコストを削減します。 Tan Phat Digital によると、これらのやり取りは現在非常に高い信頼性を持っており、被害者がリスクを特定することが以前よりもはるかに困難になっています。
2026 年の暗号通貨ウォレットのセキュリティ調査は、セキュリティがもはや静的な状態ではなく、継続的なプロセスであることを示しています。 Tan Phat Digital が常に強調している 5 つの黄金原則: 責任ある自己管理 (シード フレーズをオフラインで保存)、マルチレベル認証 (ハードウェア ウォレットとマルチシグ)、AI に注意 (ディープフェイクに注意)、オンチェーンの衛生状態 (アクセス許可を定期的に取り消す)、量子時代に備える (アドレスを再利用しない)。
資産の安全性は、完全に投資家自身の警戒レベルに依存します。不安定な Web3 の世界に関する知識。ダイナミック。
シェア
