国家スポンサーの暗号ハッキングとは?定義と範囲
国家スポンサーの暗号ハッキングは、収益を生み出す、スパイ活動を行う、または意図的な金融の混乱を引き起こすために、国家政府によって編成または直接資金供給される暗号通貨のインフラ — 取引所、DeFiプロトコル、保管ウォレット、開発者ツールチェーンなど — に対するサイバー攻撃です。独立した活動者によって行われる機会主義的なサイバー犯罪とは異なり、これらの作戦は主権の情報収集予算によって支えられ、長期的な戦略的命令で運営され、組織的な犯罪企業が持つ能力を遥かに超えた能力を展開します。
Coincheck Groupの2026年6月29日提出のForm 20-Fによれば、暗号セクターにおけるサイバーセキュリティ攻撃は「頻度、持続性、そして洗練さの面で増加しており、多くの場合、高度な資金供給を受けた組織されたグループや個人、国家関係者によって行われたり支援されたりしています。」2026年7月現在、国家スポンサーの暗号ハッキングは孤立した事件からグローバル脅威の構造的特徴へと進化しており、デジタル資産市場のすべての参加者が理解しなければならないものです。
高度持続的脅威(APT)グループとは?
高度持続的脅威(APT)グループは、国家スポンサーのサイバー攻撃を実行する運営単位です。この用語は、三つの特徴を捉えています:彼らは*高度な*(ゼロデイ攻撃、サプライチェーン侵害、高度なソーシャルエンジニアリングを使用する)、*持続的*(ターゲット環境へのアクセスを数ヶ月または数年維持する)、そして*脅威*(特定の任務駆動の目的を追求する、広範な金融的な機会主義とは異なる)です。
Hive Securityのサイバーセキュリティ分析官によれば、2026年、最も迅速なAPTキャンペーンは初期アクセスから完全なデータ漏洩までをわずか72分で移行します。この速度は、従来のインシデント対応プロトコルをほぼ無効にします。これらのグループは国家予算で運営され、数千人の技術的に熟練したスタッフを雇用し、複数の法域にわたる並行インフラを運営して、帰属の複雑さを増しています。
Flare Intelligenceによれば、「国家スポンサーのプログラムは、中国やロシアなどの国で技術的に熟練した数千人の労働者を展開し、米国や他の地域のラップトップファームにホストされた企業支給のラップトップに接続します。」これは、これらの作戦に地理的正当性の外観を与えつつ、直接的な国家の制御を維持するための物流アーキテクチャです。
主なAPTグループとその動機
すべての国家スポンサーのハッキンググループが同じ目的を持っているわけではありません。重要な区別は、金融的動機を持ったグループとスパイ活動に焦点を当てたグループの間にあり、これが彼らのターゲット選定、運用ペース、攻撃後の行動に影響を与えます。
| APTグループ | 国家 | 主な動機 | 注目の暗号ターゲット | 推定損失 |
|---|---|---|---|---|
| Lazarus Group (RGB / UNC4736) | 北朝鮮 (DPRK) | 収益生成 | Bybit($1.4B、2025年2月)、取引所、保管者 | 2024年に$1.9B以上;2025年1月〜9月に$1.65B以上(MSMT報告) |
| APT41 | 中国 | スパイ活動 + 金銭的利益 | 取引所、フィンテックプラットフォーム | 非開示 |
| Sandworm | ロシア | インフラの混乱 | 重要なインフラ | 非開示 |
| APT34 (OilRig) | イラン | 制裁回避 | フィンテック、DeFiプロトコル | 非開示 |
北朝鮮のLazarus Groupは、Reconnaissance General Bureau (RGB) の下で運営されており、主要な金融的動機を持つアクターです。Coincheck GroupのSEC提出書類(2026年6月)で引用されたMulti-State Messaging Team (MSMT) 報告によれば、DPRKのサイバー活動者は2024年に世界中の企業から少なくとも$1.9億の暗号通貨を盗み、2025年の1月から9月の間に少なくとも$1.65億を盗みました — これには2025年2月のBybit侵害からの$1.4億が含まれています。これらの資金は、国際的な制裁体制を回避するために武器プログラムの資金源としてハード通貨に変換されます。
アメリカ、日本、韓国の連名による声明は、2024年の損失が$3億以上をDPRK関連のサイバー犯罪キャンペーンに起因するものであり、取引所、保管者、個々のユーザーに対する高度なソーシャルエンジニアリングによるものだとしています。これは、脅威が複数のベクトルで同時に作用していることを強調しています。さらに、DPRKのIT労働者 schemesは国家プログラムに関連して、2024年に$8億近くを生成したとChainalysisのOFAC制裁トラッカーによって報告されています — これにより、アメリカ財務省のOFACは2026年3月12日にこれらのネットワークを促進したとして6名の個人と2つの団体を指定しました。これらはDPRKの大量破壊兵器や弾道ミサイルプログラムの資金を調達しています。
UNC4736 — AppleJeus、Citrine Sleet、Golden Chollima、Gleaming Piscesなどの複数の暗号名で追跡されているこのグループは、2018年以降少なくとも暗号通貨セクターを特に標的にしています。CrowdStrikeとMandiantの脅威インテリジェンスによれば、このグループの2025年2月の主要な取引所の侵害は、侵害されたソフトウェア更新と開発者の感染したラップトップを介して実施され、Hive Securityチームの説明によれば「1日の午後だけで」盗難を完了しました。
中国のAPT41は、戦略的競争上の優位性のための知的財産の盗難と金銭的利益を追求する二重の任務を持っています。この混合した動機は、同グループの暗号関連の侵入がフィンテックインフラをターゲットにしたデータ漏洩キャンペーンを伴うことが多いため、帰属と対応を複雑にします。
ロシアのSandwormは、収益を生み出すよりも主に混乱を引き起こす力として機能します。Chatham Houseによれば、「ロシアのサイバー代理作戦は、帰属を複雑にし、計画的な否認と制裁回避を可能にする脅威行為者のスペクトルを生み出します。」これは、モスクワがサイバー能力を投影しつつ外交的なカバーを維持できるようにするための意図された設計選択です。
イランのAPT34 (OilRig)は、DeFiおよびフィンテックへの侵入を通じて制裁を回避することに焦点を当てており、盗まれた暗号資産を使用して、従来の銀行管理を促発せずに法的枠を超えて価値を移動させます。
暗号が選ばれる理由
国家スポンサーのアクターは、伝統的な金融システムと比較して独自に悪用されやすい四つの構造的理由から、暗号通貨インフラに集中しています:
- 擬似匿名取引:ブロックチェーンの取引は公開されているが、擬似匿名のアドレス構造はリアルタイムの帰属を複雑にします。調査官は資金の流れを追跡できますが、その追跡を実行可能な凍結に変換するのには時間がかかり、急速な洗浄操作がこの時間を利用します。
- 取引を取り消す中央権限がない:DeFiプロトコルは、確認された取引を凍結または取り消すことができる当事者が存在しないという設計になっています。一度資金が妥当化されたスマートコントラクトから離れると、回復は法執行機関によるフィアットのオフランプの押収に完全に依存します。このプロセスは、遅く、法域による複雑さがあります。
- クロスチェーンクリーンインフラ:盗まれた資金は、盗難数時間以内にクロスチェーンブリッジ、プライバシーを保護するプロトコル、分散型ミキサーを通じて移動でき、多くのブロックチェーンにわたってその痕跡を断片化し、包括的な追跡を数倍困難にします。
- 24時間年中無休の市場運営:暗号市場は決して閉まりません。攻撃を実行し、洗浄を開始できる間に、セキュリティチームのシフトが終わり、規制当局が眠っており、取引所がスケルトンクルーで運営されている — これは従来の銀行が夜間決済ルールによって排除される時間的利点です。
国家安全保障の観点から、ScienceDirectの2026年の記事「暗号通貨の普及が国家安全保障に与える影響」において分析されているように、暗号通貨は国家が価値の流れを制御し、規則を施行する能力を根本的に複雑にします。これは、いくつかの政府がサイバー作戦や金融犯罪キャンペーンを雇用または支援する動機となる構造的な緊張を生じさせます。OFACは、2018年以降、制裁対象として特定の暗号通貨アドレスや全暗号サービスを含めており、国家にリンクされたアクターが制裁回避のために使用するデジタル資産インフラを明示的に標的にしています。
2026年における脅威の規模
Coincheck Groupの2026年6月のSEC提出書類で要約されたMSMTの報告によれば、DPRKのサイバー活動者だけで2024年に少なくとも$1.9 billionを盗み、2025年の最初の9カ月で少なくとも$1.65 billionを盗みました。これらは国家にリンクされた金融犯罪の広範なエコシステムを除外した数字です。東南アジアの強制労働詐欺エコシステム — 暗号インフラを利用しており、2025年11月のOFAC制裁行動の対象となった米国の詐欺センターストライクフォースとの関連があります — を含めると、2024年に少なくとも$10 billionがアメリカ人から盗まれましたとChainalysisが報告しています。
比較のため、FBIはすべての米国の銀行強盗を合わせても年間$1億未満に過ぎないと継続的に報告しています。これはニッチなセキュリティ問題ではありません。
DeFi構造のリセットダイナミクス — プロトコルの脆弱性が市場によって積極的に再価格設定されている — は、国家レベルの敵が個々のプロトコルセキュリティチームにはない能力で分散型インフラを体系的に探求しているという認識によって物質的に形作られています。
国家支援ハッカーが暗号プラットフォームに侵入する方法:攻撃ベクトルの解説
サプライチェーンの妥協:15億ドルのBybitブループリント
サプライチェーンの妥協は、敵がターゲットの防御ではなく、信頼される外部依存関係(第三者ライブラリ、ソフトウェアアップデート、または契約者の環境)を介してターゲットに侵入する攻撃方法です。このターゲットは、検査なしにその依存関係を継承します。
2026年2月のBybit侵害は、このベクトルが規模で実行された決定的なケーススタディです。Hive Securityチームのサイバーセキュリティアナリストにより次のように説明されています:*「2026年2月、ハッカーのグループが1日に15億ドルの暗号通貨を盗みました。銃も、逃走車もなし — 妥協されたソフトウェアアップデートと開発者の感染したラップトップだけでした。」* 攻撃者は北朝鮮のLazarus
Groupに起因しますが、Bybitの周辺防衛に直接侵入することはありませんでした。代わりに、彼らは信頼される第三者のコード依存関係内の開発者のマシンを妥協し、署名ワークフローに改ざんされたソフトウェアアップデートをプッシュしました。Bybitのシステムがそのアップデートを標準チャンネルを通じて引っ張ると、彼らはインプラントを継承しました。Bybitが維持していたすべてのファイアウォール、侵入検知システム、アクセス制御は、妥協されたバイナリが到着した瞬間に無効化されました。
Bybitモデルはそれ以来、異常なケースではなくテンプレートとして確認されています。2026年5月、北朝鮮のSapphire Sleetグループは、Tech-Insiderによると、わずか19分で140以上のMastra AIパッケージを汚染するというその年の最大のnpmサプライチェーン攻撃を実行しました。その19分の汚染ウィンドウは、国家スポンサーの行為者がクラウド、AI、暗号インフラに統合された上流ソフトウェア依存関係を腐敗させる速度を示しています。
これが、サプライチェーン攻撃が取引所インフラに対する最も危険なベクトルと見なされる理由です:攻撃対象のセキュリティ姿勢ではなく、ターゲットが信頼するすべてのベンダーとライブラリのセキュリティ姿勢によって攻撃面が定義される。
大規模なソーシャルエンジニアリング:6ヶ月間のドリフト作戦
285百万ドルのDrift Protocolハッキングは、DPRK関連のグループUNC4736(ゴールデンチョリーマとも呼ばれる)に起因し、暗号においてこれまでに文書化された最も体系的なソーシャルエンジニアリングキャンペーンを代表します。
Drift Protocolの自社のポストモーテム分析によると、2026年4月にThe Hacker Newsによって報告されたように:*「この攻撃は、2025年秋に始まった、北朝鮮(DPRK)による数ヶ月間にわたるターゲットを定め慎重に計画されたソーシャルエンジニアリング作戦の最高潮でした。」*
作戦のフローは、明確なフェーズに分けられました:
- ペルソナ構築(2025年秋):UNC4736の工作員は、DeFiプロトコル貢献者からのデューデリジェンスチェックを通過するために、ウェブサイト、ソーシャルメディアの履歴、およびもっともらしいチーム構造を備えた架空の取引会社のアイデンティティを構築しました。
- カンファレンス侵入:DPRK関連の行為者は、国際暗号カンファレンスに実際に参加し、数週間かけてDriftの貢献者との関係資本を築きました。これはフィッシングではありません — 知的技術(HUMINT)が金融インフラに応用されています。
- エコシステムオンボーディング:偽のペルソナは最終的に、Driftの流動性インフラと外部プロトコルがインターフェースする標準的なメカニズムであるボールト統合を通じて貢献者アクセスを取得しました。
- コード武器化:技術的な実行では、`runOn: folderOpen`に設定された悪意のあるVisual Studio Codeリポジトリが関与しました — つまり、開発者がリポジトリを複製して開いた瞬間に自動的に悪意のあるコードが実行され、追加のユーザーアクションは不要でした。
この多段階アプローチ — アイデンティティの構築、関係の構築、技術的剥奪 — は、なぜ従来の周辺セキュリティが国家由来のソーシャルエンジニアリングを阻止できないのかを示しています。攻撃ベクトルは人間の信頼であり、技術的脆弱性ではありません。世界経済フォーラムが特定したように、サイバーによる詐欺とフィッシング、AIの脆弱性、およびサプライチェーン障害は、現在、最も重要なグローバルサイバーリスクの懸念事項として位置づけられており、これら全てが国家関連の行為者によって金融および暗号プラットフォームに対して積極的に展開されています(FSI-IAIS、2026年6月)。
AIによる加速したタイムライン:武器としての速度
2026年、国家によるAPTキャンペーンは攻撃ライフサイクルを圧縮し、従来のインシデントレスポンスの仮定を根本的に破壊します。2026年6月のFSI-IAISの「サイバー保険の解明」報告書で引用されたCrowdStrikeのデータによると、AIを活用した攻撃は2025年に89%増加し、平均的な攻撃者の「ブレイクアウト時間」 — 初期アクセスから侵害されたネットワーク内での横移動までの間隔 — はわずか29分に短縮され、前年比65%の削減を記録しました。
別に、Beazley Securityは2026年第1四半期に2025年第4四半期に対して43%のアクティブな悪用の増加を記録し、攻撃のペースの加速が理論的なものではなく、実際のインシデントデータで測定されたことを確認しました。
運用的なインプリケーションは深刻です:従来のインシデントレスポンスフレームワークは、1時間の検出ウィンドウ、複数段階の人間のエスカレーション、委員会ベースの承認を基に構築されており、30分未満のブレイクアウトタイムには構造的に適合しません。
| 攻撃フェーズ | 従来のAPTタイムライン | 2026年APTタイムライン |
|---|---|---|
| 初期アクセスから横移動まで | 2–4時間 | ~10分 |
| 横移動から権限昇格まで | 3–6時間 | 10–15分 |
| 権限昇格から情報漏洩まで | 4–8時間 | ~10分 |
| アクセスから情報漏洩までのウィンドウ合計 | 10–18時間 | ~29分(ブレイクアウト) |
FSI-IAISは、単一のハッカーが商業的なAIコーディングエージェント(AnthropicのClaude CodeとOpenAIのGPT-4.1)を利用して1回のキャンペーンで9つの政府機関に侵入した事例を記録し、AIツールがもはや未来のリスクではなく、国家操作者のツールキットにおける標準インフラになったことを示しています。特に暗号プラットフォームにおいて、この速度の圧縮は、オンチェーン異常がアラートをトリガーする頃には、資金がすでに複数の中間ウォレットに段階的に移され、部分的に隠蔽インフラにブリッジされている可能性があることを意味します。自動サーキットブレーカーとリアルタイムの取引監視はもはやオプションの機能ではなく、最低限の防衛手段です。
悪意のあるPythonパッケージとnpmモジュール:開発者のサプライチェーン
ビルドパイプラインをターゲットとした企業のサプライチェーン攻撃とは異なり、悪意のあるオープンソースパッケージの挿入は、個々の開発者を直接ターゲットにし、DeFiエンジニアが日常的に使用するツールにバックドアを埋め込むものです。
2026年1月にThe Hacker Newsに引用されたCrowdStrikeの評価によれば、UNC4736はフィンテック開発者をターゲットにした偽の採用パイプラインを通じて悪意のあるPythonパッケージを使用したことを確認しています。Driftのチェーンオブカストディ分析で確認されたメカニズムは、DeFiコンテキストにまで拡張されます:工作員は妥協されたパッケージをPyPI(Pythonの公開パッケージリポジトリ)およびnpm(Node.jsパッケージレジストリ)に公開し、正当なライブラリに非常に似た名前を使用する — これはタイポスキャッティングと呼ばれる技術や、正当なパッケージメンテイナーアカウントを妥協することによって行われます。
2026年5月のSapphire SleetキャンペーンによるMastra AIパッケージに対する攻撃は、現在達成可能な工業的規模を具体化しています:19分で140以上のパッケージが汚染されました(Tech-Insider、2026年5月)。AIツールは、国家の行為者が悪意のあるパッケージの生成、命名、および公開を手動のレジストリ監視を圧倒する速度で自動化できるようにしています。
DeFi開発者が標準的な開発ワークフローの一環としてパッケージをインストールすると、悪意のあるペイロードはプライベートキー、署名資格情報、およびクラウドアクセス用トークンと同じ環境で実行されます。その後、バックドアは持続性を確立し、攻撃者が選んだ瞬間に秘密を漏洩できるようにし、即時ではなくなるので、検出確率が下がります。
このベクトルが特に危険な理由は次のとおりです:
- -パッケージインストールはルーチンであり、最小限のセキュリティアラートを生成します
- -開発者はしばしばソースコードをレビューすることなく数十の依存関係をインストールします
- -妥協は開発者のマシンで発生し、プラットフォームレベルのすべてのセキュリティ制御の上流にあります
- -一度プライベートキーの環境が妥協されると、オンチェーンの承認は定義上正当です
クラウドIAMの横移動:開発者からコールドストレージへ
初期アクセスを確立した後(妥協されたパッケージ、武器化されたリポジトリ、またはフィッシングペイロードを介して)、国家の攻撃者はクラウドのアイデンティティおよびアクセス管理(IAM)の設定ミスを介して横移動を実行し、開発者のワークステーションから署名インフラにエスカレートします。
攻撃経路は通常、このシーケンスに従います:
- 初期の足場:開発者のマシン上のマルウェアがAWSまたはGCPの資格情報を収集します。
- IAMの列挙:攻撃者は、アクセス可能なサービス、ロール、信頼関係をマッピングするためにクラウド環境をクエリします — 通常、検出を避けるために正当なクラウドCLIツールを使用します。
- 権限の昇格:設定ミスされたIAMロール(たとえば、`iam:PassRole`権限を持つ開発者ロール)は、攻撃者が明らかなアラートを生成することなくより高い権限のアイデンティティを取得できるようにします。
4.
国家による最大の暗号ハッキング: ケーススタディ 2020–2026
決定的なタイムライン: 国家による暗号ハッキング 2020–2026
2022年から2026年の期間は、歴史上最も破壊的な国家による暗号通貨盗難の時代を代表しています。機会主義的な取引所襲撃から始まり、国家レベルの精度、多業務にわたる運用キャンペーン、工業規模のマネーロンダリングインフラ、そして測定可能な市場への影響パターンが進化しました。以下の事例は孤立した事件ではなく、特に北朝鮮のラザルスグループとそのサブユニットであるUNC4736(ゴールデンチョリマ)に関して、一貫した運用の物語を形成しています。この事件では、インフラの再利用がオンチェーンのフォレンジック分析により確認されています。
Chainalysisの2024年暗号犯罪レポートによると、北朝鮮関連のアクターは2017年から2024年の間に約36億ドルの暗号通貨を盗んだとされています。この累積額には、下記の2件の2026年の画期的事例は含まれていません。2022年だけで、DPRK関連のグループは約17億ドルをDeFiプロトコルから盗み、その年の全体の暗号ハッキングにおける盗難総額の約44%を占めました。2023年には、北朝鮮が国家による最大の暗号脅威として残り、ブロックチェーンのフォレンジックはその年だけで約10億ドルが盗まれたと推定しています。2026年中頃の時点では、2025年から2026年の新たに確認された国家によるハッキングで盗まれた暗号の総価値について合算された広く受け入れられた公的推定は存在していません。主要なフォレンジック企業は、前回の盗難のマネーロンダリングと攻撃手法
の進化を強調しています。
マスターレファレンステーブル: 国家による暗号事件 2022–2026
| 事件 | 日付 | 帰属 | 盗まれた額 | 主な攻撃ベクター | マネーロンダリング手法 | 他のオペレーションとの確認されたリンク |
|---|---|---|---|---|---|---|
| Ronin Network / Axie Infinity | 2022年3月 | ラザルスグループ(DPRK) | 約$6.2億 | バリデーターノードの侵害(9中5) | クロスチェーンブリッジ、ミキサー | ラザルスのシリアルインフラ |
| Harmony Horizon Bridge | 2022年6月 | ラザルスグループ(DPRK) | 約$1.0億 | マルチシグ鍵の侵害(5中2) | トルネードキャッシュ(24時間以内) | ラザルスのシリアルインフラ |
| Atomic Wallet | 2023年6月 | ラザルスグループ(DPRK) | 約$1.0億 | 侵害されたウォレットアプリケーションの更新 | クロスチェーンブリッジ | 小売エンドポイント標的のパターン |
| Radiant Capital | 2024年10月 | DPRK関連 | 非公開(マルチミリオン) | ソーシャルエンジニアリング / 段階的インフラ | オンチェーン資金の段階的ルート | オンチェーンの流れがDrift 2026にリンク |
| Bybit Exchange | 2026年2月25日 | ラザルスグループ(DPRK) | $15億 | 侵害されたソフトウェア更新 + 開発者のラップトップ | 東南アジアのペーパーカンパニー、クロスチェーンブリッジ | ラザルスのシリアルインフラ |
| Drift Protocol | 2026年4月1日 | UNC4736 / ゴールデンチョリマ(DPRK) | $2.85億 | 6ヶ月間のソーシャルエンジニアリングキャンペーン | オンチェーンの段階的ルート | オンチェーンのリンクがRadiant Capitalに |
Bybit Exchangeハック(2026年2月): 歴史上最大の単一暗号盗難
2026年2月25日、Bybit取引所のハックは、ラザルスグループが1,500百万ドルのイーサを一日に取り出し、記録された最大の暗号通貨盗難となりました。Hiveセキュリティチームによる2026年のサイバーセキュリティ分析に記録されたように:
> 「2026年2月、ハッカーのグループが単一の午後に15億ドルの暗号通貨を盗みました。銃も、逃走用車両もなし — ただ、侵害されたソフトウェアの更新と感染した開発者のラップトップだけです。」 > — Hiveセキュリティチーム, Hive Securityのサイバーセキュリティアナリスト(Hive Security Blog, 2026)
この攻撃ベクターはBybit自体の周辺防御を完全に回避しました。ラザルスの工作員は、Bybitの開発者が使用する信頼されたサードパーティのソフトウェア依存関係を妥協しました。感染したラップトップは署名インフラへの入り口となり、供給チェーンの侵害がDPRKの主な攻撃手法として成熟したことを示しました。FBIは公式にこの攻撃を北朝鮮のラザルスグループに帰属させたとCrypto-Cornerの報道によります。
資金は盗難後48時間以内に東南アジアのペーパーカンパニーとクロスチェーンブリッジを通じてマネーロンダリングされました。このマネーロンダリングの速度は、ブロックチェーンフォレンジック企業に、迅速に閉じかけている追跡ウィンドウを残しました。15億ドルの数字は、以前の記録保持者(Ronin Networkの約6.2億ドル)を倍以上に上回ります。
主要な技術的署名: サードパーティのコード依存関係の供給チェーン侵害であり、直接的なプロトコルの悪用ではありません。これは、スマートコントラクトの脆弱性の悪用から、複数の2025年から2026年の事件の中で文書化された信頼されたベンダー感染への戦術的なシフトを確認しています。Chainalysisと2026年のBloombergの報道も、現在の国家による脅威の風景の決定的な特徴として、供給チェーンのベクターへのシフトを強調しています。
Drift Protocolハック(2026年4月1日): 6ヶ月間の運用の忍耐
Drift Protocolハックは2026年4月1日に280百万ドルが盗まれ、UNC4736、別名ゴールデンチョリマに帰属が確認された厳密に計画されたDPRKの運用の結果でした。この攻撃はDrift Protocolのセキュリティチームによって確認され、The Hacker Newsによって報告され、2025年秋に始まりました:
> 「この攻撃は北朝鮮(DPRK)によって実施された対象を絞った、厳密に計画されたソーシャルエンジニアリング作戦の数ヶ月にわたる結果でした。」 > — Drift Protocolチーム, Driftのセキュリティアナリスト(The Hacker News, 2026)
DPRKの工作員は、偽の取引会社の人格を作り、暗号業界の会議に参加し、6ヶ月にわたり合法的なエコシステムの参加者との関係を育み、最終的には悪意のあるアクターをDriftのエコシステムのボールト統合に搭載しました。これは機関規模のソーシャルエンジニアリングであり、フィッシングメールではなく、特権のあるアクセスを得るために設計された6ヶ月間の持続的な関係構築作業です。
以前のRadiant Capitalハックとのオンチェーンのリンクは、最も運用上重要な発見です。Driftチームが確認したように:
> 「この接続の根拠は、オンチェーンの(資金の流れがこの作戦の段階とテストに使用され、Radiantの攻撃者に追跡できる)と、運用上の(このキャンペーンで展開された人格に、既知のDPRK関連の活動との識別可能な重複がある)から成ります。」 > — Drift Protocolチーム, Driftのセキュリティアナリスト(The Hacker News, 2026)
これは、Radiant Capitalハック(2024年10月)が運用のリハーサルとして機能したことを確認しています。攻撃者は、$2.85億の主要な運用を実行する前に、より小規模なターゲットでマネーロンダリングルートと段階的インフラのテストを行いました。ここで明らかになったDeFi構造の脆弱性は、攻撃者の忍耐力と計画の地平線の質的なエスカレーションを表しています。
Ronin Network / Axie Infinity(2022年3月): マルチシグのしきい値の壊滅
2022年3月のRonin Networkハックは、約$6.2億(173,600 ETHプラス25.5百万USDC)で、公式に米国当局とChainalysisによってラザルスグループに帰属され、記録されている国家による暗号盗難の中で2番目に大きな事件となりました。この攻撃は根本的なアーキテクチャの欠陥を暴露しました: Roninのブリッジは、引き出しを認可するために9中5のバリデータノードの署名だけを必要としました。ラザルスは5つのノードを妥協しました — 4つは単一の組織を通じて、1つは侵害された分散型自律組織のノードを通じて — 警告を発することなくしきい値に達しました。
Chainalysisのインテリジェンスアナリストであるエリカ・ヒューザーが当時述べています:
> 「ラザルスグループの焦点は、セキュリティが最も弱いが、リスクの高い価値がかかるクロスチェーンブリッジやDeFiプロトコルに明確に移っています。」 > — エリカ・ヒューザー, Chainalysisのインテリジェンスアナリスト(Chainalysis blog, 2022)
この事件は、マルチシグしきい値設計失敗における定義的なケーススタディを確立しました: 必要な署名数が意味のあるクォーラムを下回ると、攻撃者が妥協する必要のある数の鍵に対して、全体のブリッジのセキュリティモデルが崩壊します。この教訓は、その後のHarmony Horizon Bridge分析に直接的に影響を与えました。
Harmony Horizon Bridge(2022年6月): 制裁前のトルネードキャッシュ
2022年6月のHarmony Horizon Bridgeハックでは、ラザルスグループがわずか2本のマルチシグ鍵を侵害することで約$1.0億を盗みました — それはさらに薄いしきい値でした。
国家支援のハッキングが市場を不安定にし、トレーダーにリスクをもたらす方法
即時価格影響: ハッキング発表が同時売り圧力を引き起こす方式
ハッカーによる市場の混乱は、通常の弱気ニュースとは異なる特有のメカニズムパターンで動作します: 複数の売り圧力が連続的ではなく同時に発動します。確認されたハッキングの発表が行われると — 例えば、2026年2月の$15億のBybitの侵害 — アルゴリズム取引システム、ストップロス注文、手動でのパニック退出がすべて同じ1分間に発動します。その結果、注文簿の真空状態が生まれます: 入札がマーケットメーカーの再価格付けよりも早く消失し、価格発見が一時的に崩れます。
2026年2月のBybitハッキングは、ビットコインを日中で約7%下落させた後、一部回復しました — 相対的に変動性が抑えられていた資産にとっては重要な動きです。BYBトークン自体は、ユーザーが取引所で保有されている資金の完全な損失を想定したため、数時間以内に事実上無価値になりました。このパターン — 鋭い日中の下落、一部回復 — は今や主要な取引所ハッキングイベントの確立されたテンプレートです。
初期の売り圧力を引き起こす三つの同時の力:
- -アルゴリズムトリガー: 感情スキャンボットがリアルタイムのニュースフィードでハッキングキーワードを検出し、ミリ秒以内にショートポジションを実行したりロングポジションをクローズしたりします
- -ストップロスの連鎖: 主要なサポートレベルの下にストップを集められたレバレッジロングポジションが、価格が技術的レベルを下回ると迅速に掃き取られます
- -手動のパニック退出: 影響を受けたプラットフォームに資金を持つ小売および機関保有者が同時に引き出そうとする一方、影響を受けていないプラットフォームの保有者は、より広い蔓延を予期して予防的に売却します
この組み合わせは、根本的な再評価ではなく流動性危機のように見える価格の動きを生み出します — まさにそのようなものです。この脅威の規模は著しく成長してきました: TRM Labsの*2026年上半期クリプトハックレビュー*によると、2026年上半期には207件のクリプトハックが発生し — 記録的な事件数 — ハッキングによる混乱はもはや稀な尾部イベントではなく、クリプト市場の再発する構造的特徴となっています。
清算の連鎖増幅: $5億が市場損害の$20-50億になる理由
清算の連鎖は、離散的な盗難事件をシステム的な市場ショックに変換する第二次増幅メカニズムを表します。そのメカニズムは自己強化的です: ハッキングが価格を押し下げ、それがエコシステム全体でレバレッジロングポジションの担保価値を侵食し、それが自動清算を強制し、さらなる売り圧力を加え、さらに価格を押し下げ — 次の清算の層を引き起こします。
$5億のハッキングは、相互接続されたDeFiプロトコル全体で$20-50億の連鎖清算ポジションを引き起こす可能性があります。この増幅比率は、クリプト担保がどれほど深く再利用されているかを反映しています: 同じビットコインやETHは、貸出プロトコル、利回りアグリゲーター、無期限先物のマージンアカウントで同時に担保として機能する可能性があり — 各層が初期の価格変動の影響を拡大します。
以下のレバレッジテーブルは、ハッキングイベントが生み出す日中の動きに対する異なるレバレッジレベルの反応を示しています:
| レバレッジ | 資本 | ポジションサイズ | 5%下落 (P&L) | 7%下落 (P&L) | 清算距離 |
|---|---|---|---|---|---|
| 10x | $1,000 | $10,000 | -$500 (-50%) | -$700 (-70%) | ~9.5% |
| 25x | $1,000 | $25,000 | -$1,250 (-125%) | 清算 | ~3.8% |
| 50x | $1,000 | $50,000 | 清算 | 清算 | ~1.8% |
| 100x | $1,000 | $100,000 | 清算 | 清算 | ~0.9% |
2026年2月のビットコインの日中下落約7%は、標準のアイソレートマージンセットアップで25x以上のすべてのレバレッジロングポジションを清算しました。50xのレバレッジでは、トレーダーがまだ日中安値の半分に達していない段階で清算されてしまいました。
DeFiのコンポーザビリティは連鎖を深化させます。DeFi構造的リセットテーマが示すように、プロトコルは構造的に相互依存しています: ある貸出市場での担保価格の下落が清算を強制し、それが隣接プールから流動性を排出し、それが利回りアグリゲーターのスプレッドを広げ、それがさらなる自動再バランスを引き起こします — すべてが数秒以内に完了する自動スマートコントラクトの実行サイクル内で。重要なことに、TRM Labsは、主要な管理、署名ワークフロー、および保管インフラへのターゲッティングを含む運用およびインフラの妥協が —
2026年上半期の事件の約15%ですが、盗まれた総資産の約76%を占めていることに注意しています。これは、これらの連鎖ダイナミクスを引き起こす可能性の最も高い事件が、最小限の時間で最大のドル損害を集中させる事件であることを意味します。
ステーブルコインのデペッグリスク: 盗まれた資産が流動性プールに影響を与えるとき
ステーブルコインのデペッグイベントは、ハッキングエピソード中に予測可能な順序で進行します。大規模なUSDC、USDT、またはDAIの割り当てを盗むハッカーは、トレースを隠すために流動性プールを通じて迅速な変換を試みることが一般的です — 一つの資産でプールを氾濫させ、もう一方の側を排出し、ステーブルコインをペッグに近づける定数生産価格仮定を一時的に壊します。
アルゴリズムステーブルコインは特に脆弱です: 大量のトークンダンプが、バランスの不均衡を吸収するための準備金の裏付けのないプールに発生すると、ペッグメカニズムが一時的に機能しなくなることがあります。DAIのようなオーバーコラテライズされたステーブルコインでさえ、重大な流動性イベント中に数分または数時間の間$1を下回って取引されることがあります。
しかし、中央集権的なステーブルコイン発行者は、意味のある対策を示しています: Circle (USDC)とTether (USDT)は、確認された盗難の数時間以内にハッカーのウォレットを凍結する能力を示しており、特定のアドレスを契約レベルでブラックリスト化しています。このメカニズムは物議を醸します — USDCとUSDTは検閲耐性がないことを示しています — が、ハッカーの流動性変換を制限するのに効果的であることが証明されています。Bybitハッキングの余波の中で、Circleの迅速なウォレット凍結は、盗まれたUSDCの一部が変換されるのを防ぎましたが、主に盗まれた資産のミックスが回復を複雑にしました。Sanctions.ioのDPRKマネーロンダリングパターンの分析は、国家支援のアクターが特に盗まれた資金をノーKYCブリッジやDEXを通じてルーティングし、これらの凍結メカニズムを追い越す
ために新しく作成されたウォレットにチェーンホッピングを使用していることをハイライトしており — 効果的な干渉のためのウィンドウは日ではなく時間で測定されます。
トレーダーにとって、ハッキングイベント中のステーブルコインのデペッグリスクは追加のエクスポージャーをもたらします: 一時的にデペッグされたステーブルコインで表示またはマージンされたポジションは、ファントム損失や、根底の取引理論とは関係のない潜在的なマージン不足に直面します。
相手方の破産リスク: ハッキングから全資本損失へ
相手方の破産リスクは、トレーダーにとって最も深刻な結果を表します: プラットフォームの保険基金や準備金の裏付けを超えるハッキングが、盗まれた資産を保持するユーザーだけでなくすべてのユーザーに損失を分担させます。2022年のFTX崩壊 — ハッキングではなく詐欺によって引き起こされた — は、プラットフォームの破産がどのようにして全資本の損失に変わるかを示しています: 出金停止、破産手続き、及び数年後に1セントも戻らない債権者回収プロセス。
国家支援のハッキングは、今や任意のプラットフォームで同じ結果を引き起こす可能性があります。2026年2月の$15億Bybitハッキングは、その時点で記録された歴史上最大のクリプト盗難を表していました。損失の集中はさらに鋭くなっています: 北朝鮮に関連するアクターだけで、2026年上半期に約$643百万を盗み、この期間に盗まれた全資金の約66%を占めています、TRM Labsの*2026年上半期クリプトハックレビュー*によると。小規模な準備金を持つ取引所は、その損失規模の破産に直面した可能性があります — プラットフォームの存続と崩壊の違いは、準備金のカバーが盗難金額を上回るかどうか、そしてユーザーの信頼が崩壊する前に緊急資金がギャップを埋められるかに依存しています。
特にレバレッジトレーダーにとって、相手方の破産は複合的なリスクを生み出します: 開いているポジションがイベント中に不利な価格で清算または凍結されるだけでなく、プラットフォーム上の残りのマージンバランスが、即座にアクセス可能な資本ではなく債権者の請求となります。
プラットフォーム間の感染: DeFiのコンポーザビリティがシステムリスクとなる
プロトコル間の感染は、DeFiハッキングリスクを従来の金融サイバー事件から分ける決定的な特性です。従来の市場では、一つの機関での侵害が自動的かつアルゴリズム的に相手方から流動性を排出することはありません。DeFiでは、コンポーザビリティ — プロトコルの出力を他のプロトコルへの入力として使用する能力 — は、ハッキングの影響がスマートコントラクトの実行速度で伝播することを意味します。
2022年3月のロンインネットワークのハッキングは、複数のイーサリアムで担保としてリサイクルされていた$625百万を凍結しました。
国家によるハッキング環境下でのレバレッジ取引:リスク計算
ハックのボラティリティにおける異なるレバレッジレベルでの清算価格の感度
清算価格の感度とは、レバレッジポジションの強制閉鎖基準がエントリ価格にどれだけ近いかを指します。ハッキングによる市場条件下では、この距離がトレーダーが生き延びるか、重大な発表から数分以内に破産するかを決定します。
メカニズムは簡単です:50倍のレバレッジで1,000ドルの資本を持つトレーダーは、50,000ドルのBTCポジションを管理します。エントリ時のBTC価格が95,000ドルである場合、契約ごとのマージンは約20ドルです。わずか2%の価格変動 — BTCが93,100ドルまで下落すること — が完全な清算を引き起こすのに十分です。現実の文脈を考えてみてください:2025年2月のドバイ拠点の取引所ハック(40万ETH以上、当時約15億ドルがコールドウォレットから流出、Coincheck Group Form 20-Fによる)により、パニックが相互接続された市場に広がると即座に数パーセントのBTC下落が発生しました。50倍のレバレッジを持つロングポジションは、市場が底を見つける前に清算されてしまった — トレーダーは復帰の機会すら持ちませんでした。
これは、国家によるハッキング環境における高レバレッジトレーダーの定義的なリスク方程式です:攻撃自体は瞬時であり、価格の影響は即座に現れ、レバレッジポジションは反応する時間がありません。
レバレッジとハックによるドロップ生存テーブル
次のテーブルは、異なるレバレッジレベルとその清算閾値をマッピングし、7%のBTCドローダウンに対する生存結果を重ねています — 2025年から2026年にかけて記録されたハッキング駆動の価格影響の規模:
| レバレッジ | 資本 | ポジションサイズ | 清算距離 | 清算価格 (エントリー $95,000) | 7% ドロップを生き延びる? |
|---|---|---|---|---|---|
| 10x | $1,000 | $10,000 | ~9.5% | ~$86,050 | ✅ はい |
| 15x | $1,000 | $15,000 | ~6.5% | ~$88,825 | ❌ いいえ |
| 25x | $1,000 | $25,000 | ~3.8% | ~$91,390 | ❌ いいえ |
| 50x | $1,000 | $50,000 | ~1.9% | ~$93,195 | ❌ いいえ |
| 100x | $1,000 | $100,000 | ~0.95% | ~$94,098 | ❌ いいえ |
| 2000x | $1,000 | $2,000,000 | ~0.05% | ~$94,952 | ❌ いいえ |
重要なポイント:7%のBTCドロップを引き起こすハックは、ストップロスがなければ15倍レバレッジ以上で運用しているすべてのポジションを終了させます。対照的に、10倍のレバレッジを持つトレーダーは約86,050ドルの清算閾値を持ち、7%のドロップ目標である約88,350ドルを大きく下回り、復帰に参加することができました。2026年上半期の業界データによると、207件の公に報告された暗号ハックが記録され、合計損失は9億7200万ドル、1件あたりの中央値の損失は約21万9000ドルであり — ハッキング駆動のボラティリティ事象が稀な例外ではなく、取引環境の再発する構造的特徴であることを示しています。
実際の計算:2人のトレーダー、1つのハックイベント
規律正しいレバレッジの使用と無秩序な使用の違いは、ハッキングによる7%のBTCドローダウンに対して2つの具体的なトレーダーシナリオを比較することで鮮明に見えます — 2026年4月のKelp DAOの不正アクセス(2億9200万ドルが流出、90億ドルのエコシステム引き出しが引き起こされた)と2025年2月のドバイ取引所のコールドウォレット漏えいに一致しています:
トレーダーA — 保守的なレバレッジ
- -資本:$5,000
- -レバレッジ:10x
- -ポジションサイズ:$50,000
- -エントリ価格:95,000ドルのBTCロング
- -清算価格:約86,050ドル
- -7%ドロップ目標価格:約88,350ドル
- -結果:ポジションは7%のドローダウン全体を生き延びます。ハック後にBTCが部分的に回復すると、トレーダーAのポジションは収益に戻ります。資本は無事です。
トレーダーB — アグレッシブなレバレッジ
- -資本:$5,000
- -レバレッジ:50x
- -ポジションサイズ:$250,000
- -エントリ価格:95,000ドルのBTCロング
- -清算価格:約93,100ドル
- -清算までの距離:約2%
- -結果:7%の移動の最初の2%以内に清算されます。トレーダーBは市場が底に達する前に5,000ドルを失い — どんな回復も不可能です。ドローダウンの残りの5%とその後の回復は無関係です。なぜなら、そのポジションはもはや存在しないからです。
このシナリオは実世界のカスケードデータと一致しています:2026年4月のKelp DAO攻撃はただ一つで90億ドル以上のエコシステム引き出しを引き起こしました(Coincheck Group Form 20-Fによる) — 数分以内に全体の市場セグメントで高レバレッジのロングポジションを消し去るような同時的なデレバレッジを発生させました。
ハックイベント中の資金調達コスト
無期限先物の資金調達率 — スポットに契約価格を固定するためにロングおよびショートトレーダー間で行われる定期的な支払い — は、延長されたハック不透明期間中の二次的だが重要なコストになります。
重要なハックイベントの間、資金調達率は急騰し、市場メーカーはスプレッドを広げ、レバレッジを持つロングは数日間の不透明ウィンドウを通じて強制的に保有されます。コストを示すために:10,000ドルの名目資本を持つ100倍のレバレッジロングポジションは、1,000,000ドルの名目エクスポージャーを管理します。8時間ごとの資金調達率が0.3%に上昇した場合 — 主要な侵害イベントに伴うようなストレス条件で一貫して — このポジションは8時間ごとの資金調達サイクルで3,000ドルを支払います。24時間の不透明期間にわたって、これは10,000ドルの資本ベースにおいて資金調達コストが9,000ドルに達し、どんな不利な価格変動が考慮される前に資金調達手数料からの90%のドローダウンを表します。
このため、高レバレッジポジションは大きなハックイベントを単に「保持する」ことはできません:価格が最終的に回復しても、数日間の不透明期間を生き抜くための資金調達コストがポジション全体の資本を超えることがあるからです。
プラットフォームのセキュリティをレバレッジ乗数として
CoinUnited.ioの2000倍のレバレッジでは、0.05%の不利な価格変動が完全な清算を引き起こすのに十分です。これは、極端なレバレッジの物理法則です — 許可される結果の全範囲をわずかなパーセントに圧縮します。しかし、価格変動を完全に超える質的に異なるリスク次元があります:プラットフォームレベルのセキュリティ。
取引所が侵害された場合 — 2025年2月のドバイの取引所侵害(40万ETH以上、約15億ドルが高度な攻撃でコールドウォレットから流出、Coincheck Group Form 20-Fによる)で発生したように — リスクは、ポジションが0.05%で動くことではありません。リスクは、ポジションの方向、レバレッジレベル、またはストップロス設定にかかわらず総資本損失です。ショートポジションは保護されません。完全にヘッジされたポートフォリオも保護されません。プラットフォームの資金が流出すれば、損失のメカニズムは対抗給付者の支払い能力の喪失であり、価格動向ではありません。
2026年4月のDrift Protocol事件はさらなる次元を強調しています:攻撃者は数ヶ月にわたり定量的取引会社のふりをして従業員のデバイスへのアクセスを社会工学的に得て、最終的にSolanaベースのデリバティブ取引所から約2億8500万ドルを引き出しました(Coincheck Group Form 20-Fによる)。その venue でオープンレバレッジポジションを持っているトレーダーにとって、その障害は運用上のものでした — ポジションが価格変動によってでなく、インフラストラクチャ自体が侵害されたために取引不能または障害が発生したのです。健全な個人的なセキュリティ衛生は保護を提供しませんでした。
高レバレッジトレーダーにとって、これはリスク計算全体を再構成します。プラットフォームのセキュリティは二次的な考慮事項ではありません — それはレバレッジ計算が関連するかどうかを決定する基礎的な変数です。侵害されたプラットフォームで10倍のレバレッジを使用しているトレーダーは、Secure platformで500倍のレバレッジを使用しているトレーダーよりも大きな実際のリスクにさらされています。なぜなら、10倍のトレーダーの資本は、プラットフォームの支払い能力によってゼロにされる可能性がある一方で、500倍のトレーダーのポジションは、少なくとも定義された、数量的な清算メカニズムに基づいて運営されるからです。
Coincheck Groupの2026年のSEC申請は、「北朝鮮を起源とする可能性がある、中華人民共和国、ロシアおよび他の国による国家支援のサイバー攻撃の高まるリスク」を重要なリスク要因として明示しており — これは、北朝鮮に関連する者が約10億ドル相当の暗号を盗んだという記録された現実を反映しています。
取引前に暗号プラットフォームのセキュリティを評価する方法: トレーダーのフレームワーク
なぜプラットフォームのセキュリティがすべての取引判断の基盤なのか
カウンターパーティリスクとは、資本を保持しているプラットフォームが失敗する可能性のことです — それは取引が間違っているからではなく、取引所、プロトコル、またはカストディアン自体が侵害されているか、支払い能力がないためです。2025-2026年に実行された国家によるハッキング作戦が証明したように、Fibo Cryptoによると1年間で34億ドルが盗まれ、確かなセキュリティアーキテクチャに代わるプラットフォームの評判は存在しません。このフレームワークは、資本を預け入れる前に評価するための7つの具体的チェックポイントをトレーダーに提供し、セキュリティ評価を漠然とした感覚から体系的なデューデリジェンスプロセスへと変換します。
特に高レバレッジのトレーダーにとって、プラットフォームのセキュリティは市場分析に次ぐものではなく、最優先です。2000倍のレバレッジポジションは理論上、正確なストップロスで管理できますが、取引所自体が侵害されている場合、どんなストップロスも全資本を失うのを防ぎません。以下のチェックリストは、中央集権型取引所 (CEX) とDeFiプロトコルの両方に適用され、各々の特定の検証手順があります。2026年7月時点で、規制環境はもはや厳格であり、MiCAのCASP認可の締切は2026年7月1日に過ぎ、認可なしに運営しているEU向けプラットフォームは違法となっており、規制状況自体がセキュリティのチェックポイントとなっています。
1. 準備金の証明: マーケティングの主張ではなくメルクルツリー検証を要求
準備金の証明 (PoR) は、プラットフォームが個々のユーザーデータを開示することなく、オンチェーンの資産がユーザーの総負債と等しいかそれを上回っていることを証明するための暗号学的監査方法論です。技術的に厳密なバージョンでは、メルクルツリー構造を使用しています: 各ユーザーの残高は葉ノードにハッシュ化され、上方に集約されることで、オンチェーンウォレット残高に対して独立して検証可能なルートハッシュになります。
FTX(2022年)以降、PoRは評判の良いプラットフォームにとっての必須項目になっています — FTXの崩壊は、日々数十億を処理する取引所でさえ、隠れた社内貸付や不正に使用されたユーザー資金を通じて部分的な準備金を保持できることを示しました。2026年に確認可能なPoRが欠如していることは、軽微な省略ではなく、明確な警告です。
確認すること:
- -PoR監査は独立した第三者機関(Mazars、Hacken、CertiK、Armanino)が実施していますか?
- -監査はメルクルツリー手法を使用していますか、それとも単なる証明書(遥かに弱い)ですか?
- -監査は過去90日以内に行われていますか?準備金は変化します; 12ヶ月前の監査はほとんど意味がありません。
- -プラットフォームは個々のユーザーが自分のアカウント残高がメルクルツリーに含まれていることを確認できる自己検証ツールを提供していますか?
- -PoRはすべての資産タイプ(BTC、ETH、ステーブルコイン、アルトコイン)をカバーしていますか、それともプラットフォームの主要保有資産のみですか?
確認可能なメルクルルートなしでPDFの証明書を公表するプラットフォームや、監査人の公的報告書へのリンクなしでPoRを参照するプラットフォームは、証明ではなくマーケティングを提供しています。
2. 保険基金: サイズ、範囲、実際にカバーしているもの
保険基金とは、プラットフォームが特定の不利なイベントによる損失をカバーするために維持している事前資金の準備金です。ほとんどのトレーダーが見落とす重要な区別: カバーの範囲は非常に異なるため、ほとんどの基金は清算エンジンのショートフォールをカバーするように設計されています — セキュリティ侵害をカバーしているわけではありません。
主要なプラットフォームは、2億ドル〜10億ドル以上の範囲で保険基金を維持しています。しかし、このサイズの基金はホットウォレットのハッキング、スマートコントラクトの悪用、またはカストディアンの失敗を明示的に除外している場合、何の保護も提供しません — これらは国家による攻撃で使用される正確なベクトルです。
確認チェックリスト:
| カバーカテゴリ | ほとんどの基金でカバーされていますか? | 質問すべきこと |
|---|---|---|
| 清算エンジンのショートフォール | ✅ はい | 標準的カバー |
| ホットウォレットハッキング | ⚠️ 時々 | 書面確認を要求 |
| スマートコントラクトの悪用 | ❌ まれに | 明示的に検証する |
| カストディアン/第三者の失敗 | ❌ まれに | カストディアンの身元を尋ねる |
| サプライチェーンの妥協 | ❌ ほとんどない | Bybitに関する具体的な懸念 |
- -プラットフォームの公表された保険基金ポリシードキュメントを請求し、単に基金バランスのティッカーではなく
- -基金がオンチェーンで保持されているか(透明な残高)または企業の財務に(不透明)あるかを確認する
-基金が引き出されたことがあるか、それがどのように補充されるのかを尋ねる
- -保険が第三者のポリシーによって補足されているかどうかを理解する(例: ロイズのデジタル資産カバレッジ)
2026年2月のBybitハッキング — サプライチェーンの妥協によって15億ドルが盗まれたというHive Securityの2026年の分析によると、高度な国家による攻撃が合理的な保険基金のサイズを超えることがあることを示しています。プラットフォームの保険はリスク管理のための最低限の基準であり、上限ではありません。
3. マルチシグウォレットアーキテクチャ: 閾値とキーの地理に注意
マルチシグ(マルチシグネチャ)ウォレットは、取引を承認するためにM-of-Nのプライベートキー署名を必要とします — これは、単一のハッキングされたキーが資金を排出するのを防ぐ核心的なセキュリティメカニズムです。閾値は攻撃の難易度を直接決定します。
Harmony Horizon Bridgeのハッキング(2022年6月)は、薄い閾値の悲惨な結果を示しました: ラザラスグループは、1億ドルを盗むために5キー中の2キーだけを侵害する必要がありました — 社会工学の能力を持つ国家にとっては現実的なターゲットです。Ronin Networkのハッキング(2022年3月)は、9のバリデータノードのうち5を侵害する必要がありました — それでもラザラスは、複数のバリデータにアクセスするために社会工学を利用しました。
セキュリティ閾値比較:
| マルチシグ閾値 | 必要なキー数 | 攻撃の難易度 | 業界評価 |
|---|---|---|---|
| 2-of-3 | 2キー | 非常に低い | 取引所のコールドストレージにとって受け入れられない |
| 2-of-5 (Harmony) | 2キー | 低い | 脆弱性が示された; 避けるべき |
| 3-of-5 | 3キー | 中程度 | 小規模プラットフォームにとっては最低限受け入れられる |
| 5-of-9 (Roninハック後) | 5キー | 高い | 中堅取引所には許容できる |
| 7-of-11以上 | 7キー以上 | 非常に高い | 大規模取引所にとってのベストプラクティス |
特に尋ねるべきこと:
- -コールドストレージの引き出しに現在のM-of-Nの閾値は何ですか?
- -署名キーは異なる法域に地理的に分散していますか?(キーが1つのオフィスまたは1つの国に共置されている場合、同時に物理的リスクにさらされます)
- -署名キーは、独自のセキュリティ制御を持つ第三者のカストディアン(Fireblocks、Copper、BitGo)によって保持されていますか?
- -マルチシグアーキテクチャは過去12ヶ月以内に独立したセキュリティ会社によって監査されましたか?
- -大規模引き出しのロック解除遅延はどのくらいですか?(評判の良いプラットフォームは、大規模なコールドストレージの引き出しに24-48時間の遅延を課し、検出ウィンドウを作成します)
4. バグバウンティプログラム: スケールと支払い履歴がセキュリティ文化を示す
バグバウンティプログラムは、独立したセキュリティ研究者が攻撃者が悪用する前に脆弱性を見つけて責任を持って開示するよう奨励します。プラットフォームの最大バウンティ支払いの規模は、どれだけ積極的にセキュリティを重要視しているかの直接的なシグナルです。
$500K〜$5Mの最大のクリティカル脆弱性に対するバウンティを提供するプラットフォーム(上位DeFiプロトコルのImmunefiリーダーボードで引用された範囲)は、クラウドソースによるセキュリティに意味ある投資をしています。$5,000でクリティカルなスマートコントラクト脆弱性に対するバウンティを提供するプラットフォームは、セキュリティが予算の優先事項ではないことを示しています。
評価基準:
- -バグバウンティプログラムは、評判の良いプラットフォーム(DeFi用のImmunefi、CEX用のHackerOneまたはBugcrowd)でホストされていますか?
- -プラットフォームはバウンティの支払いを公表していますか?(支払われたバウンティはプログラムがアクティブであることを確認するものであり、パフォーマンスを示すものではありません)
- -開示された脆弱性に対しての平均的なパッチまでの時間はどのくらいですか?90日以上のパッチサイクルを持つプログラムは、エンジニアリングのバックログの問題を示します。
- -スコープは、スマートコントラクト、Webアプリケーション、API、モバイルアプリ、内部インフラストラクチャーの完全な攻撃サーフェスを含みますか、それともスマートコントラクトのみですか?
- -プラットフォームはセキュリティ研究者を名前で公的に認識するか、パッチされた脆弱性についてのポストモーテムを公表しましたか?(透明性の文化の指標)
5. スマートコントラクト監査の最新性とデプロイ済みコードの検証
スマートコントラクトセキュリティ監査は、再入侵攻撃、整数オーバーフロー、アクセス制御の失敗、オラクルの操作などの脆弱性のために契約ロジックを詳細に調査する専門のセキュリティ研究者による構造化されたコードレビューです。DeFiプロトコルとCEXのオンチェーン決済レイヤーにとって、監査の品質は基盤となるセキュリティ要件です。
しかし、監査には重要な制限があります: それは特定の時点でレビューのために提出されたコードを検証するものであり、現在オンチェーンにデプロイされているコードを検証するものではありません。監査済み
DeFiプロトコルとステーブルコイン凍結の論争: 特定のハッキングリスク
不変性パラドックス: DeFiの核心的強みが最大の脆弱性に
DeFiの不変性パラドックスは、分散型金融の中心にある根本的な緊張を表しています: スマートコントラクトを信頼性なしかつ検閲抵抗的にする同じ特性 — デプロイ後に変更または逆転できないこと — は、攻撃者がそれを悪用する瞬間に壊滅的な負債に変わります。伝統的な金融では、不正な電信送金は数時間以内に取り消すことができます。DeFiでは、完了した悪用トランザクションは数学的に永久的です。
ロンインネットワークのブリッジハックは、このことを brutalに明示しています。Lazarus Groupが9つのバリデータノードのうち5つを侵害し、625百万ドルを単一のトランザクションシーケンスで引き出した際、出金を停止するための管理者キーはなく、不正行為担当部署に連絡することもできず、トランザクションの逆転メカニズムも存在しませんでした。コードは書かれた通りに実行され、攻撃者用に実行されただけです。信頼できる仲介者の必要性を排除した不変性が介入する能力も排除してしまいました。侵害が数日後に発見された時には、資金はすでにミキサーインフラを通じて動き始めていました。
この構造的現実は、DeFiプロトコルを担保環境や利回りを生むポジションとして使用するトレーダーにとって、安全網の下に安全網はないことを意味します。スマートコントラクトのバグ、オラクルの操作、またはガバナンスの悪用は回復可能なイベントではなく、その契約に投資された資本にとっては致命的なものであります。
ステーブルコイン凍結論争: 「分散型」資金の中の中央集権的キルスイッチ
ステーブルコイン凍結メカニズムは、USDCやUSDTを「安全な」担保として扱うトレーダーにとって最も重要な — そして最も議論されていない — リスク要因の1つです。これらの資産は、所有権を伴う文書ではありません。これらは、ブラックリストを維持し、法的命令に応じ、法執行機関と連携する規制された企業によって発行されたトークン化されたIOUです。
実際の影響は、2026年2月のBybitハックの後に明確になりました。Lazarus Groupは盗まれた資産15億ドルを数時間以内に移動しましたと、Hive Securityのアナリストは述べています。USDCの発行企業であるCircleは、特定されたLazarus Groupのウォレットに保有されていた4,000万ドル以上のUSDCを、帰属の約4時間後に凍結しました — 技術的には印象的で、倫理的に正当化されうる行動ですが、同時にほとんどのUSDC保有者が内面化していなかったことを示しました: 単一の企業が、裁判所の命令なしに、事前通知なしに、凍結の瞬間にウォレット保有者に利用可能な異議申し立てメカニズムなしで、あなたのステーブルコイン残高を利用不可にすることができるのです。
発行者レベルの凍結権限のスケールは、個々のハックへの対応を超えて大幅に拡大しています。TRM Labsによると、ステーブルコイン発行者は、2026年7月時点でその歴史の中で合計44億ドル以上を凍結しています。2026年4月に実施された単一の執行行動では、イラン中央銀行に関連する資金に関連して、Tetherが3.442億ドルのUSDTを凍結しました — これは、TRM Labsが発行者レベルの凍結権限の実例として直接示した行動です。2026年6月の米国財務省のNobitexを含む4つのイランの暗号資産取引所に対する同時制裁は、越境執行の調整が高まっていることを示しています。Ellipticが2026年6月に報告したように、NYDFSと欧州銀行当局は、ステーブルコインに関する情報交換のためのMOUに署名し、これらの凍結行動がますますルーチン化される越境監督の枠組みを正式に製造しています。
この凍結機能は、Circleの管理者アドレスによって呼び出されるUSDCスマートコントラクトに直接組み込まれた`ブラックリスト`機能を通じて機能します。トレーダーの観点から見ると、これは「分散型」とは言えない fundamentally異なるリスクプロファイルを生み出します:
| ステーブルコイン | 発行者 | 凍結能力 | 凍結トリガー権限 | トレーダーにとっての関連リスク |
|---|---|---|---|---|
| USDC | Circle | はい — オンチェーンのブラックリスト | Circleが一方的に; 政府/法的命令 | ウォレットがブロックチェーン分析にフラグされた場合、担保が凍結される可能性があります |
| USDT | Tether | はい — 歴史的に1,000以上のウォレットが凍結 | Tetherが一方的に; OFAC/法執行機関からの要求 | 凍結リスクは分析会社がフラグした非KYCウォレットに広がります; (2026年4月)単一のイラン行動で3.442億ドルが凍結される |
| DAI | MakerDAO | 部分的 — ガバナンスが担保制限を追加できる | コミュニティガバナンス投票 | より遅いメカニズムだがガバナンス攻撃には脆弱 |
| FRAX | Frax Protocol | 部分的 — USDC担保コンポーネントに依存 | 担保レイヤーでUSDCの凍結リスクを引き継ぐ | 基礎となるUSDCによる連鎖的凍結リスク |
Tetherの実績は特に指導的です。40億ドル以上が累積的に凍結されており — 制裁違反に関連するウォレット、取引所のハック、国家に関連したエンティティを含む — 凍結メカニズムは、緊急ツールから日常的なコンプライアンス手段に進化しました。非KYCウォレット環境でUSDTをマージン担保として保持しているトレーダーにとって、理論的なリスクは無視できません: ブロックチェーン分析会社(Chainalysis、Elliptic、TRM Labs)が、アドレスクラスタリングエラーを通じて不正活動と潜在的に関連するウォレットアドレスをフラグすると — 正しくなくても — Tetherは政府の要求に応じてその資金を凍結することができ、ウォレット所有者には直ちに救済手段がありません。
TRM Labsが報告したように、2025年のステーブルコイン取引の0.5%未満が不正活動に関連していること、制裁関連のステーブルコイン活動が前年比で60%減少していることは注目に値します — 積極的な執行が測定可能なコンプライアンス効果を生んでいることを示唆しています。しかし、この執行の成功こそが、正当なトレーダーにとっての担保リスクを生み出すのです: より積極的な執行体制は、凍結行動がより頻繁で、範囲が広がることを意味します。
凍結耐性のある代替品の出現は、リスクモデリングにおいて教訓を提供します。ロシアのA7A5ステーブルコインは、凍結機能、ブラックリスト、破壊コール、管理者のオーバーライドがないように設計されています — 明示的なデザインに基づくとCrypto.newsのブロックチェーン分析は述べています。2026年7月の時点で、そのステーブルコインは、ピークから月間取引量が96%減少しており、制裁にさらされているアクターにとっての凍結不可能なステーブルコインの明らかなアピールにもかかわらず、市場は急いで採用していないことを示唆しています。言い換えれば、凍結機能は発行者にとって単なる負債ではなく、規制された金融インフラとの統合を可能にするコンプライアンス機能です。
トレーダーにとっての運営上の結論: USDCとUSDTは、その発行者とそれらの発行者が運営する政府に対するカウンターパーティーリスクを伴います。 リスクモデルにおいてそれらを所有資産と同等に扱うことは、分析上の誤りです。2026年に進行しているステーブルコインの機関の構築は、GENIUS法のような枠組みを通じてこれらの金融商品の規制統合を加速させています — TRM Labsやその他のコンプライアンス企業がFinCENやOFACのルール作りに直接影響を与えることにより — これは、凍結メカニズムがより頻繁に使用され、国際的に調整され、トレーダーにとってより重大な影響を及ぼすことを意味します。
アルゴリズミックステーブルコインの脆弱性: ハック-driven sellingがペグを永続的に破壊する時
アルゴリズミックステーブルコインのデペッグリスクは、ハック条件下で中央集権的な凍結とは異なる、より壊滅的なメカニズムを通じて機能します。資金へのアクセスを削除するのではなく、ハック駆動の販売は、ペグを維持するための経済的インセンティブ構造を完全に破壊することができます — 担保が凍結されるのではなくゼロに変わってしまうのです。
2022年5月のテラ/LUNAの崩壊は、決定的なケーススタディとして残ります。協調的な大規模販売がアルゴリズミックなリバランスメカニズムを圧倒した時 — これは、$1のペグを維持するためにUSTとLUNAのミントとバURNのアービトラージに依存していました — メカニズムは死のスパイラルに突入しました。USTがデペッグされると、LUNAがペグを回復するためにミントされ、LUNAの供給が超インフレし、LUNAの価格が破壊され、USTの裏付けに対する信頼が破壊され、USTの販売が加速しました。全体の40億ドル以上のエコシステムが72時間以内に崩壊しました。
国家が支援するハッカーが、ハックしたDAIやFRAXの大規模な量をAMM流動性プールに移動させると、同様のダイナミクスが小規模で生じます。AMMプールは、(x × y = k)の定数産物式を使用し、大規模な不均衡取引に指数関数的な価格影響をもたらします。ハッカーが2億ドルのステーブルコインを浅いプールに投げ込むと、単に一時的にデペッグされるだけではなく、プールの反対側が完全に排出され、ステーブルコインには価格発見メカニズムがなくなり、流動性プロバイダーは最大で結晶化する一時的損失を抱えることになります。
DeFiプラットフォームでアルゴリズミックステーブルコインをマージンとして使用するレバレッジトレーダーにとって、これは非対称なリスクを生み出します: 担保は清算インフラがポジションを処理する前にゼロに落ち込み、預金されたマージンを超える損失をもたらす可能性があります — よく機能する中央集権的取引所環境では不可能なシナリオです。
ブリッジハック集中リスク: ハイウェイロバリー
北朝鮮の暗号ハッキング帝国:地政学的文脈と資金の流れ
偵察総局:国家情報任務としての暗号盗難
北朝鮮の偵察総局 (RGB)は、すべての外国秘密作戦を担当する中央情報機関であり、DPRKの主要な暗号ハッキング作戦を直接指揮する権限を有しています。これは peripheral detail ではありません。Lazarus Group、UNC4736(別名ゴールデンチョリーマ)、およびBlueNorOffの金融サブユニットがすべてRGBを通じて報告しているという組織的事実は、暗号盗難が構造的には国家情報任務であり、平壌の意識の影で動く犯罪企業ではないことを意味しています。
この区別は深刻な意味を持ちます。犯罪ハッキンググループは逮捕、資産押収、金融圧力を通じて撲滅することができます。国家情報局は国内のリソース、外交的カバー、および主権免責権を持っているため、同じツールを個人のサイバー犯罪者に適用しても解散、起訴、あるいは有意義に抑制されることはありません。RGBはCIA、MI6、あるいはロシアのFSBと同じ組織的永続性を持って運営されており、プライベートなサイバー犯罪者に適用されるのと同じ手段で解消されることはありません。
2026年4月のDrift Protocol妥協を追跡しているセキュリティ研究者によると、UNC4736は2025年秋に始まった6ヶ月間のソーシャルエンジニアリングキャンペーンを実行しました。これは偽の取引会社のペルソナを構築し、暗号会議に出席し、エコシステムの金庫統合に悪意のあるアクターを埋め込む前に関係を築くことです。Drift Protocolチームは確認しました:*「攻撃は、2025年秋に始まった人為的に計画されたソーシャルエンジニアリング作戦の月単位の結実でした。」*このような忍耐と計画のレベルは、機会主義的なサイバー犯罪ではなく、国家情報作戦の特徴です。さらにProofpointは、北朝鮮系クラスターUNK_DeadDropによる新たなキャンペーンが、2026年4月から5月の間に約250件のフィッシングおよび偽コーディングタスクのメールをほぼ100の組織
の開発者に送信したことを記録しています。この volumnはRGBが並行して産業化されたターゲティングパイプラインを同時に運営していることを確認しています。
収益規模と武器プログラムの資金ループ
DPRKのハッキングプログラムの背後にある戦略的根拠は、武器化された経済的必然性です。何十年もの国際制裁は北朝鮮を従来の収入源、つまり武器輸出、外国投資、貿易金融から体系的に切り離しており、政権は国内のオペレーションと武器プログラムを資金調達するために違法な代替手段に頼らざるを得なくなっています。
暗号ハッキングは、政権の最も生産的な収益チャネルの一つとなっています。2026年6月に発表されたG7に焦点を当てた分析で引用されているChainalysisデータによると、北朝鮮関連のグループは2025年に暗号通貨で20億2000万ドルを盗み、これは2024年の13億4000万ドルから51%の増加に相当します。47件の記録された事件において、この急増はG7政府を公式にDPRKの暗号盗難を武器資金調達の脅威として位置付けさせました。北朝鮮の世界の暗号盗難総額に対するシェアは驚異的であり、Chainalysisは2025年に世界で盗まれたすべての暗号の64%をDPRK関連のアクターに帰属させ、2026年初頭に記録された損失の76%に上昇しました。TRM
Labsは2026年上半期に北朝鮮関連の活動が暗号ハッキング全体で約6億4300万ドル、すなわち約66%に相当すると評価しました。累計で、DPRK支援グループは、2026年半ば時点で約73億5000万ドルの暗号盗難が帰属されているとChainalysisは指摘しています。
国連専門パネルは、DPRKの暗号盗難の収益を弾道ミサイルおよび核兵器開発プログラムに直接結び付けています。これにより、暗号ハッキングは周辺的な犯罪活動ではなく、主な武器資金調達メカニズムとして確立されます。2026年5月に発表された*暗号通貨の普及が国家安全保障に与える影響*(ScienceDirect)に掲載された学術分析は確認しています:*「ラザルスグループは、北朝鮮軍のインテリジェンスに結びついているとされ、高名な暗号ハックに特化し、武器プログラムの資金調達と制裁を回避するためにデジタル資産を活用していると言われています。」*これは交渉できない構造的ダイナミクスを生み出します。北朝鮮が核および弾道ミサイル能力を追求し続ける限り、そして暗号市場がアクセス可能で匿名でほとんど取り消し不可の資本のプールを提供する限り、RGBは攻撃し続けるでしょう。
| 年 | 注目すべき DPRK のオペレーション | 大まかな盗難額 | 操作方法 |
|---|---|---|---|
| 2022 | ロニン/アクシーインフィニティ | 6億2500万ドル | マルチシグバリデーターの妥協 |
| 2022 | ハーモニー・ホライゾンブリッジ | 1億ドル | 2-of-5キーの妥協 |
| 2023 | アトミックウォレット | 3500万ドル | 妥協したウォレットの更新 |
| 2024 | ラディアントキャピタル | 5300万ドル | DPRK関連(UNC4736のリハーサル) |
| 2026 (2月) | バイビット取引所 | 15億ドル | サプライチェーン / 開発者のノートパソコン |
| 2026 (4月) | ドリフトプロトコル | 約2億8000万〜2億8500万ドル | 6ヶ月のソーシャルエンジニアリング |
ノートパソコン農場インフラ:持続的な内部脅威
ノートパソコン農場は、DPRKのサイバーオペレーションの最も構造的に危険で過小評価されている要素の1つです。政権は、暗号企業にリモート従業員として潜入する、自由契約の開発者として中国、ロシア、東南アジアに基づいているふりをする数千人のIT従業員を展開します。これらの労働者は、シェルアイデンティティを通じて構築された信頼できる資格、ポートフォリオ、および履歴を持ち、最終的にRGBのハンドラーが標的とする計画を立てている企業に雇用を求めます。
米国市民がDPRKの技術者プログラムを助けるために有罪判決を受けたというCyberScoopの報告は、このプログラムの現実のインフラを確認しています。西側管轄内のファシリテーターは、DPRKオペレーターをリモート役職に配置するのを助け、国内銀行口座、ノートパソコン転送サービス、身元カバーを提供します。この計画は、利用可能な報告によれば、100を超える米国企業を標的にしたとされています。Proofpointによって文書化された2026年4月から5月のUNK_DeadDropフィッシングキャンペーンは、偽のコーディングタスクを使用して資格情報を盗むマルウェアを配信するために、ほぼ100の組織の開発者をターゲットにしていることを確認しており、この開発者ターゲティングパイプラインがアクティブでスケーリングしていることを示しています。
ドリフトハック自体は、このベクトルが実際にどのように機能するかを示しています。6ヶ月間のソーシャルエンジニアリングキャンペーンは、サイバー内部の脅威の忍耐さを持って運営されていました — 外部の攻撃者が境界防御を探るのではなく、エコシステムの内部からアクセスを育成する信頼された参加者です。一度埋め込まれると、DPRKオペレーターは以下を行うことができます:
- -内部コードリポジトリおよびプライベートキー管理インフラにアクセス
- -依存関係チェーンに悪意のあるPythonパッケージやnpmモジュールを植え付ける
- -マルチシグ署名ワークフローやキーの保管地理をマッピング
- -ネットワーク境界内から攻撃を実行し、外部の監視を回避
これが、ノートパソコン農場の脅威が外部の悪用とは根本的に異なる理由です。従業員を止めるファイアウォールはありません。信頼できる請負業者の通常のワークフローをフラグ付けする侵入検知システムはありません — 異常になるまでその瞬間まで。
洗浄パイプライン:盗まれたETHからハード通貨へ
DPRKの洗浄インフラは、デジタル資産を使えるハード通貨に変換しながら、ブロックチェーン分析会社の調査能力を消耗させるように設計された一貫した層状パターンに従います。一般的なシーケンスは、研究者が複数のDPRKのオペレーションを追跡する方法と一致しており、次のように進行します:
- プライバシーコインへのアトミックスワップ(主にモネロ/XMR):最初の変換ポイントでオンチェイントレイルを破棄します。モネロのリング署名は、ほとんどの分析ツールにとって追跡を統計的に困難にします。
- チェーン間ブリッジの分断:資金を複数のチェーン(Ethereum → BSC → Solana → Arbitrum)に分散させ、資金の追跡を試みる調査者にとって分析の複雑さを増加させます。
- ミキサーの配備:トルネードキャッシュや機能的な後継プロトコルが追加の匿名化を層状に施しますが、トルネードキャッシュの2022年の制裁により、代替ツールへの部分的な適応が強いられました。
- OTCデスクの変換:KYCなしの店舗であるOTCデスクは、主に中国と東南アジアに集中し、暗号を法定通貨—通常は中国元またはUSD—に変換し、本人確認や取引報告なしに行います。
- ハード通貨調達:最終的に資金は、公式な輸入チャネルを迂回して武器部品、二重用途技術、高級商品の購入を行う統制ネットワークに到達します。
ドルフトと以前のDPRKオペレーションを結びつけるオンチェーンの証拠は、このパイプラインが攻撃全体で共有されていることを示しています。Drift Protocolチームが述べたように、*「この接続の基盤 [DPRKに対する] は、オンチェーン(この操作の実行に使用される資金の流れがラディアント攻撃者に遡る)および運用上(このキャンペーンに展開されたペルソナが既知のDPRK関連の活動と明らかなオーバーラップがある)です。」*DPRKは、すべての攻撃のために新しい洗浄インフラを構築するわけではありません—彼らは証明済みの経路を再利用します。これが、2024年10月のラディアントキャピタルのハックが大きなドリフト盗難のための収益作戦および洗浄ルートのリハーサルとして振り返って語られる理由です。ブロックチェーン調査者およびFBIはまた、2026年2月の一部を追跡しました。
実行可能なセキュリティフレームワーク: トレーダーが2026年に資本を保護する方法
脅威環境は構造的な対応を要求する
2026年7月現在、国家支援による暗号盗難は体系的な規模に達しています — 2024年だけで推定19億ドルの暗号通貨がハッキングや盗難で奪われたと、Chainalysisの2025年暗号犯罪報告書は示しています。そして、2026年2月の15億ドルのBybitハックは、どのプラットフォームアーキテクチャも免疫がないことを証明しています。Hive SecurityチームはBybitの侵害について明確に説明しました: *「銃も逃走車もなく — 単なる妥協されたソフトウェアのアップデートと、感染した開発者のラップトップ。」* Drift Protocolチームは、彼らのハックが2025年秋に始まった*「数ヶ月にわたる標的を絞った綿密に計画されたソーシャルエンジニアリング作戦の集大成」*であったと確認しました。
Chainalysisはさらに、詐欺や盗まれた資金が追跡された違法な暗号取引量の大部分を占めていると文書化しており、ソーシャルエンジニアリング防御と取引先のデューデリジェンスが技術的なウォレットセキュリティと同様に重要であることを強調しています。識別可能なランサムウェアの支払いのほぼすべてが暗号通貨で行われ、このことが攻撃を可能にし、事後の流れの法科学的追跡を可能にします。
アクティブなトレーダーにとっての疑問は、次の攻撃が発生するかどうかではなく — それが実際に起こったときにどれだけの資本を失うかであり、その後も運営を続けられるかどうかです。このフレームワークは、理論的な概要ではなく、優先度の高いアクションプランとして構成されています。
ルール1: 単一プラットフォームに30%以上の資本を集中させない
30%ルールは、トレーダーが行える最も影響力のある変更です。アクティブな取引資本を、独立した保管を持つ少なくとも3つの規制されたプラットフォームに分散させてください。単一の取引所に、総投入資本の30%を超える資本を保有させてはいけません。
計算は簡単です: もしBybitの規模の事件が3つのプラットフォームのうちの1つを襲った場合、最大で30%の資本を失います — 痛みがありますが、生き残れます。他の2つのプラットフォームで運営を続けることができます。すべての資本が妥協された取引所に集中していた場合、損失は全額となり、運営は即座に停止します。
| 集中戦略 | プラットフォームハック (100%損失) | 保存された資本 | 取引を続けることができるか? |
|---|---|---|---|
| 1つのプラットフォームに100% | $10,000の損失 | $0 | いいえ |
| 2つで50%ずつ | $5,000の損失 | $5,000 | はい (減少) |
| 3つで33%ずつ | $3,300の損失 | $6,700 | はい (フルキャパシティ) |
| 4つで25%ずつ | $2,500の損失 | $7,500 | はい (フルキャパシティ) |
プラットフォームを選択する際には、規制の管轄区域を主要な基準として扱ってください。EUのMiCAライセンスの下で運営される取引所、CFTCに登録されたデリバティブプラットフォーム、および独立した企業による検証済みのマークルツリー準備金監査を持つ会場は、規制されていないオフショアの会場よりも実質的に強力な保護を提供します。特に、英国の金融行動監視機構は2026年6月にPS26/12を発表し、資本の最低要件として£150,000を要求する暗号資産企業に対するプルーデンシャルな枠組みを策定しています — これは、英国規制プラットフォームの取引者が使用する際の対取引先の耐性に直接影響を与える構造的なバックストップです。ハックのシナリオでは、規制の管轄区域が、保険メカニズム、法的回収経路、および必須のインシデント開示要件が適用されるかどうかを決定します。
ルール2: 非取引用資産のためのハードウェアウォレットの隔離
マージンや担保、近距離の流動性にアクティブに必要ではない暗号は、ハードウェアウォレット (Ledger, Trezor, Coldcard) に保管するべきです。これらは通常の使用中にインターネットに接続されたデバイスから物理的にエアギャップされています。
Bybit攻撃のベクトル — 感染した開発者のラップトップ — は、未確認のソースからソフトウェアをダウンロードする小売ユーザーにも直接影響します。妨害されたコンピュータに接続されたハードウェアウォレットは、全くその機械に接続されていないものよりもはるかに少ない保護を提供します。衛生の原則は絶対です: 知らないソースからファイルをダウンロードしたコンピュータ、疑わしいリンクをクリックしたコンピュータ、またはオンラインで新しい連絡先によって推奨されたソフトウェアをインストールしたコンピュータにハードウェアウォレットを接続してはいけません。
実用的な実装:
- -ホットアロケーション (プラットフォーム上): アクティブなマージンおよび取引操作のために必要な資金のみ
- -ウォームアロケーション (ソフトウェアウォレット): 迅速な配布が必要になる可能性のある近距離の準備金
- -コールドアロケーション (ハードウェアウォレット、エアギャップ): その他すべて — 長期保有、30日以内に必要とされない準備資本
ほとんどのトレーダーの目標比率: ホットまたはウォームの状態で総暗号保有の20-25%を超えないこと。
ルール3: 50,000ドル以上の保有に対する個人のマルチシグセキュリティ
総価値が50,000ドルを超える暗号資産を保有している場合、個人のマルチシグ (マルチシグ) 保管 はもはやオプションではなく、デバイスの妨害に対する最低限の保護です。
CasaやUnchained Capitalのようなツールを使って、3つのハードウェアキーが必要だけれども、任意の2つがトランザクションを承認できる2-of-3マルチシグ構造を実装します。各キーを別々の物理的な場所に保管します (例: 自宅の金庫、安全預金箱、信頼できる家族の安全な場所)。
重要なセキュリティ特性: 単一の妥協されたデバイス — 盗難にあった、感染した、物理的に押収された — がウォレットを枯渇させることはできません。攻撃者は、2つの独立した場所に保存された2つの独立したキーを同時に妨害する必要があります。72分間のスピードで実行するDPRKの操作に対して、これはソフトウェアベースのセキュリティがマッチできない構造的障壁を生み出します。
Ronin Networkハック (2022年) やHarmony Horizon Bridgeハック (2022年) は、攻撃者がそれぞれ5-of-9と2-of-5のキーを妨害するだけで成功しました — これは、マルチシグが防ぐために設計された薄い閾値ですが、適切に分配されませんでした。地理的に分かれたキーの2-of-3での個人のマルチシグは、この脆弱性を逆転させ、個々の保有者にとって有利に働きます。
ルール4: フィッシングおよびソーシャルエンジニアリングの防御プロトコル
Drift Protocolのハックは2025年秋の暗号カンファレンスで始まったと、Drift Protocolチームの事故後分析によればです。DPRKのオペレーターは偽の取引会社のペルソナを作成し、6か月にわたって関係を構築し、最終的に金庫統合アクセスを獲得しました。これは孤立した戦術ではなく、北朝鮮APTユニットの文書化された標準操作手順です。Chainalysisは詐欺やソーシャルエンジニアリング駆動の盗難が識別可能な違法な暗号ボリュームの大部分を占めることを確認しており、人間のレイヤーの防御は技術的なコントロールと同様に重要です。
実用的な防御プロトコル:
- 全ての unsolicited contact を潜在的に敵対的とみなす: '取引会社'、'投資機会'、'開発者の協力'、または 'タレントリクルーター' からのアプローチは、LinkedIn、Telegram、Discord、またはカンファレンスのネットワーキングを通じて届いた場合、最大限の懐疑心を持って扱うべきです。Lazarus GroupのOperation Dream Jobは2020年から偽の 'スキルアセスメント' ドキュメントを介してマルウェアを配布しており、2026年もなお効果的です。
- 新しい連絡先によって推奨されたソフトウェアを決してインストールしない: 連絡がどれほど正当なものであるように見えても、関係がどれほど長く進展していても、またソフトウェアの要求がどれほど日常的であるとしても。Drift攻撃の6か月間の耐心なタイムラインは、DPRKオペレーターが悪意のある要求を行う前にかなりの時間を投資する意志を持っていることを示しています。
- いかなる状況でもシードフレーズやプライベートキーを共有しない: 正当なプラットフォーム、サポートチーム、監査人、または協力者はシードフレーズを要求しません。その要求は — 文脈や緊急性にかかわらず — 攻撃です。
- 全てのソフトウェアを公式チャネルを通じて検証する: ウォレットソフトウェア、ブラウザー拡張、または取引ツールをインストールする前に、GitHubリポジトリの所有権、公式ドメインのSSL証明書、コミュニティの確認をチェックします。
- すべての取引所アカウントに強力な多要素認証と身分確認を有効にする: 2026年の業界サイバーセキュリティフォーラムは、MFAと継続的なアカウントモニタリングを、アカウントの乗っ取りに対する最前線の防御として一貫して特定しており、プラットフォーム上に保有される資金のためのハードウェアウォレットセキュリティの補完的な層です。
ルール5: リアルタイムのハック監視および事前に定められた緊急出口
Unit 42によってドキュメント化された72分ルール (Hive Security, 2026) によれば、ハックが公に確認される時点では、攻撃者はすでに資金を流出させています。あなたの緊急対応計画は、インシデントが発生する前に事前に確立されている必要があります — 決定し、書き留め、テストする必要があります。
モニタリングスタック (次のインシデントの前に実装):
- -Rekt Newsに登録して迅速なハック確認を受け取る
- -DeFiLlamaのハックトラッカーを監視して、公式発表の前にTVL異常を確認する
- -Chainalysisの脅威インテリジェンスアラートに登録し、ウォレットフラグおよび資金移動の通知を受け取る
- -NansenやArkham Intelligenceを通じて、取引所の既知のホットウォレットアドレスに対するオンチェーンアラートを設定する — 取引所のウォレットからの異常に大きな流出は、アクティブなハックの最初の検出可能なシグナルであることが多い
事前に定められた緊急出口手続き:
- インシデントが発生する前に、各プラットフォームから個人のコールドウォレットへの出金アドレスを事前にテストする — アドレスが機能し、トランザクションが完了することを確認する
- プラットフォームハックが確認された場合 (信頼できる情報源を通じて、公式のプラットフォーム通信だけでなく)、開始する