5月のセキュリティインシデント トップ3
5月に発生した最大の損失は、スマートコントラクトの脆弱性ではなく、秘密鍵の漏洩、クロスチェーン検証の欠陥、ミント権限やブリッジのセマンティクス(論理的意味付け)を取り巻く運用セキュリティの不備など、信頼の境界における障害に起因するものでした。
この傾向は、Web3のセキュリティがスマートコントラクトのコードをはるかに超えた範囲に及ぶことを改めて示しています。すべてのシステムは、そのライフサイクル全体を通じて信頼の前提条件を組み込んでいます。これらの前提条件が一つでも崩れると、それが攻撃者にとって唯一必要な「最も弱いリンク」となってしまいます。
Echo Protocol: 約7,670万ドル
2026年5月19日、Monad上のEcho ProtocolのeBTCデプロイメントが重大なセキュリティインシデントに見舞われました。攻撃当時のeBTCのペグ価格に基づくと、損失額は約7,670万ドルと推定されています。
根本的な原因は、従来のスマートコントラクトのロジックの脆弱性ではなく、管理者キーの侵害でした。特権的な制御権を得た攻撃者は、対応する担保を預け入れることなく、約1,000 eBTCを不正に鋳造(ミント)しました。eBTCはBTCの価値を追跡するように設計されていたため、不正な鋳造は即座に莫大な想定エクスポージャーを生み出しました。その後、攻撃者は偽造した供給の一部を下流のプロトコルに移動させ、このインシデントをプロトコル横断的なリスクイベントへと発展させました。
この事例は、合成資産やラップ資産のシステムにおいて、重要なセキュリティの境界はコントラクトの正しさだけではなく、ミント権限が単一の特権キーに過度に集中していないかにあることを強調しています。その信頼のアンカーが一度侵害されると、攻撃者は意図された担保モデルを完全に回避することが可能になります。
StablR: 約1,280万ドル
2026年5月24日、StablRのステーブルコインシステムにおいて、約1,280万ドルにおよぶ不正なトークン発行を伴うセキュリティ侵害が発生しました。
公開レポートに基づくと、これは従来のスマートコントラクトの悪用というよりも、主にインフラまたは鍵管理の侵害であったように見受けられます。攻撃者はマルチシグベースのミント権限を掌握し、所有権ロールを置き換えるか奪取することで、USDRとEURRの不正な鋳造を可能にしました。攻撃者がオンチェーンで実現した利益は、不正に鋳造されたトークンの完全な想定価値よりも低かったものの、このインシデントはディペグを引き起こし、ミント権限の分離、署名者のセキュリティ、マルチシグガバナンス設計の脆弱性を露呈させました。
ステーブルコインプロトコルにとって、この種のインシデントは特に深刻です。なぜなら、攻撃者は直接国庫準備金から資金を流出させる必要がないからです。一度不正な鋳造が可能になると、償還能力に対する市場の信頼が即座に崩壊し、ペグが外れ、流動性が急速に悪化する可能性があるからです。
Verus: 約1,170万ドル
2026年5月18日、Verus-Ethereumブリッジが悪用され、ETH、tBTC、USDCを含む約1,170万ドルが流出しました。2026年5月23日時点で、盗まれた資金の約75%が返還されています。
根本的な原因は、Ethereum側のインポートパスにおける型検証の失敗でした。Verus-Ethereumブリッジは、公証された状態の下でVerus上に条件を満たすエクスポートオブジェクトが存在することを証明した後に、Ethereum側で資産を解放するように設計されています。しかし、脆弱性のあるロジックは「何らかのVerus側のオブジェクトが存在すること」のみを確認しており、証明されたオブジェクトが実際に支払い処理を目的とした正当な「プライマリ・エクスポート」であるかどうかの確認を行っていませんでした。その結果、攻撃者は手製の補助的なエクスポート出力を含む空白のエクスポートをVerus上で作成し、そのオブジェクトをEthereum上で証明することで、ブリッジに正常な価値を伴うエクスポートであると誤認させることができました。
その後、攻撃者は埋め込まれた転送ハッシュのコミットメントと一致するserializedTransfersを提供し、実質的に不正なインポートをEthereum側のチェックに通して、ブリッジから資産の解放をトリガーしました。このインシデントは、ブリッジのセキュリティが暗号証明の検証だけに依存するのではなく、オブジェクトの型、状態、フラグ、エンコーディング境界、実行セマンティクスの厳格な検証にも依存していることを示しています。もしプロトコルが「オブジェクトが存在すること」のみを証明し、それが「意図したアクションに対する正しいオブジェクトであること」を証明しなければ、有効な証明であっても無効な支払いを許可するために悪用される可能性があるのです。
上記の情報は、2026年6月1日 00:00 UTC時点のデータに基づいています。
以上で4月のセキュリティインシデントの概要を終わります。ブロックチェーンのセキュリティインシデントやWeb3のセキュリティトレンドに関するより詳細な分析については、当社のリソースをご覧ください。
詳細については、当社のセキュリティインシデントライブラリをご確認ください。
常に情報を把握し、安全を維持しましょう!
