2025年は、仮想通貨セキュリティにとって再び激動の年となりました。影響力の大きいインシデントが相次いで発生し、エコシステムに激震を与え、その余波でユーザー、チーム、コミュニティに実害をもたらしました。結果はしばしば痛みを伴うものでしたが、それぞれの出来事が「セキュリティは最優先事項として扱われるべきである」という、馴染み深い真実を改めて浮き彫りにしました。
コミュニティが今年の出来事から学びを得られるよう、BlockSecは今年最も注目すべき10件のインシデントを選出しました。これらの事例は、損失の規模だけでなく、関与した独特な技術、予期せぬ展開、そして新たに明らかになった、あるいは十分に調査されていない攻撃対象領域によって選ばれました。
本投稿では、2025年のトップ10セキュリティインシデントに焦点を当て、それぞれの注目に値する理由を共有します。また、各事例について、根本原因と完全な攻撃経路を詳細に解説するフォローアップ記事も公開する予定です。
Cetusインシデント:2025年最大のDeFiハック
概要
2025年5月22日、Sui上で最大の集中流動性DEXであるCetus Protocolが、複数のプールから流動性が引き出され、推定約2億2300万ドルの被害に遭いました。根本原因は、固定小数点u256演算における、保護無効なヘルパー関数(checked_shlw())の誤りでした。不正な閾値により、安全でない<< 64の左シフトが実行され、高位ビットがサイレントに切り捨てられました。攻撃者は流動性サイズと狭いティック範囲を慎重に選択することで、Cetusに約1単位のトークン預け入れを計算させ、同時に巨大な流動性を持つLPポジションを付与させました。その後、その過大評価されたポジションを削除することで、実際の準備金を引き出しました。
選定理由
固定小数点ヘルパーにおける単一の不正確な比較で、2億2300万ドルが流出しました。攻撃者はオラクルを操作したり、ガバナンスを悪用したりしませんでした。攻撃全体は、純粋な算術的エッジケース(シフト+切り捨て)に依存し、ほぼ無料の流動性を生み出し、決定論的に実際の準備金を回収しました。集中流動性演算に基づくあらゆるプロトコルにとって、この事例は、低レベルの固定小数点演算におけるサイレントな境界エラーがプロトコルレベルの大惨事に拡大する可能性があることを直接警告するものです。
根本原因と攻撃手順について詳細をご覧ください。
Bybit:2025年最大のハック
概要
2025年2月21日、Bybitは約15億ドルを失いました。これは、攻撃者がソーシャルエンジニアリングを通じてSafe{Wallet}開発者のマシンを侵害したためです。そのアクセス権を利用して、攻撃者はSafe{Wallet}のAWS S3バケットに悪意のあるJavaScriptを注入しました。注入されたコードはBybitのSafe{Wallet}トランザクションを標的とし、署名プロセス中にトランザクションの内容を改ざんしました。改ざんされたトランザクションは、BybitのSafe{Wallet}コントラクトを悪意のある実装にアップグレードし、攻撃者がコントラクトが保持するすべての資産を流出できるようにしました。
選定理由
仮想通貨史上最大のセキュリティ侵害は、スマートコントラクトのバグから始まったわけではありません。それは、侵害された開発者のマシンとS3バケット内の改ざんされたJavaScriptファイルから始まりました。攻撃経路は、ソーシャルエンジニアリング、クラウドストレージ、フロントエンドコード注入といったWeb2インフラストラクチャ全体を通過しました。オンチェーンセキュリティに焦点を当てた業界にとって、Bybitは運用およびインフラストラクチャセキュリティが同様に不可欠であることを直接思い起こさせます。マルチシグは、その所有者が信頼する署名インターフェースと同じくらい安全です。
根本原因と攻撃手順について詳細をご覧ください。
Balancer V2
概要
2025年11月3日、Balancer V2のComposable Stable Poolsおよび複数のチェーンにまたがるフォークプロジェクトが連携攻撃を受け、総損失額は1億2500万ドルを超えました。根本原因は、不変計算における精度損失であり、BPT(Balancer Pool Token)の価格を歪めました。攻撃者は、この歪みを利用して、ターゲットのステーブルプールから単一バッチスワップで利益を引き出しました。
選定理由
典型的なオラクル操作攻撃とは異なり、このエクスプロイトは不変計算自体から発生しました。固定小数点演算におけるわずかな精度損失でBPT価格が歪み、収益性の高い単一トランザクションでの抽出が可能になりました。攻撃は複数のチェーンに広がり、Balancerとそのフォークの両方に影響を与え、共有コードベースがコンポーザブルDeFiにおけるシステムリスクをどのように増幅させるかを示しました。根本原因に関するコミュニティの議論は、しばしばメカニズムを単純化していました。完全な分析は、不変ソルバーの精度損失が、悪用可能な価格設定のギャップにどのように変換されるかを追跡します。
根本原因と攻撃手順について詳細をご覧ください。
GMX
概要
2025年7月9日、Arbitrum上のGMX V1が、約4200万ドルの被害に遭いました。攻撃者は再入可能脆弱性をトリガーして、トランザクション中にGLP価格を操作し、その歪んだ価格を利用して預け入れた価値をはるかに超える資産を取得しました。繰り返し悪用することで、攻撃者はGMX V1の流動性プールから基盤となる資産を徐々に引き出しました。
選定理由
再入可能性は、最も古くから知られているスマートコントラクトの脆弱性の1つですが、確立されたACLモデルを持つ、実績のあるプロトコルを崩壊させました。OrderBookコントラクトのnonReentrant修飾子は、同一コントラクト内の再入を防止しましたが、フォールバック中のVaultへのクロスコントラクト呼び出しを阻止することはできませんでした。GMX V1は何年も稼働しており、その実績は誤った安心感を生み出す可能性があります。この事例は、プロトコルの成熟度がシステム全体の再入分析の代わりにはならず、複数のコントラクトが変更可能な状態を共有している場合、単一コントラクトのガードでは不十分であることを示しています。
根本原因と攻撃手順について詳細をご覧ください。
Yearn Finance
概要
2025年11月30日、Yearn FinanceのyETH Weighted Stable Poolが、900万ドル以上の被害に遭いました。主な根本原因は、不変ソルバー_calc_supply()における安全でない算術演算であり、その丸め誤差とアンダーフローの失敗が、それぞれ約810万ドル(損失の90%)を占めました。二次的な脆弱性であるadd_liquidity()における非無効化されたブートストラップパスは、一次エクスプロイトがすでにプールを枯渇させた後、さらに約90万ドルの損失を可能にしました。
攻撃者は多段階戦略を実行しました。まず、プールへの流動性の追加と削除を繰り返して、プールの仮想残高に極端な不均衡を作り出しました。次に、算術的失敗を悪用して積項を崩壊させ、総供給量をゼロにしました。最後に、ブートストラップ初期化パスに再突入し、アンダーフローを通じて約2.35e56 yETHをミントし、それをyETH-WETH Curveプールで実際の資産と交換しました。
選定理由
金銭的損失は2025年の基準では中程度でしたが、エクスプロイトの技術的複雑さは例外的です。攻撃は、数値的エッジケース(除算崩壊、不変ソルバーでの符号反転)と状態遷移再入(デプロイ後のプール初期化の再トリガー)を連鎖させ、オンチェーン状態の精密な多段階操作を必要とします。エクスプロイトを完全に再構築するには、低レベルの算術と広範な状態遷移の両方を理解する必要があります。この事例の微妙さ、厳密さ、教育的深さの組み合わせは、今年最も分析的に価値のあるインシデントの1つとなっています。
根本原因と攻撃手順について詳細をご覧ください。
Cork Protocol
概要
2025年5月28日、Ethereum上のCork Protocolが悪用され、約1200万ドルの損失が発生しました。根本原因は、満期日時HIYA価格操作と、Uniswap v4フックコールバックにおけるアクセス制御の欠如の組み合わせでした。HIYAリスクプレミアムは満期までの時間がゼロに近づくにつれて指数関数的に増加するため、満期直前のスワップはHIYAを急騰させ、新しく初期化された市場がCover Tokenを大幅に過小評価する原因となりました。同時に、CorkHook.beforeSwapにはmsg.sender認証が欠けており、細工されたパラメータを持つ任意の呼び出しが可能でした。両方の欠陥を悪用することで、攻撃者は大量のCTとDSを抽出し、それらをwstETHに交換してプロトコルの準備金を枯渇させました。
選定理由
満期日時価格設定曲線も、認証されていないフックコールバックも、単独では壊滅的ではありませんでした。それらの相互作用が壊滅的でした。満期付近での指数関数的なHIYAプレミアムは経済的増幅器を形成し、msg.senderチェックの欠如は攻撃者に任意のパラメータでそれをトリガーする方法を与えました。この事例は、単一モジュールの監査では見逃されがちな脆弱性のクラスを示しています。経済設計とアクセス制御が相互作用して悪用可能なパスを生成する、モジュール間の仮定の不一致です。
根本原因と攻撃手順について詳細をご覧ください。
Trust Wallet
概要
2025年12月25日、Trust Walletはサプライチェーン攻撃を受け、2,000以上のユーザーウォレットが侵害され、850万ドルの損失が発生しました。攻撃者はTrust WalletのChrome Web Store APIキーを入手し、それを使用して公式チャネルを通じてバックドア付き拡張機能(v2.68)を公開しました。悪意のある拡張機能は、ユーザーのシードフレーズを攻撃者が制御するサーバーに漏洩させました。その後、攻撃者は侵害されたウォレットから資金を引き出しました。
選定理由
攻撃者はスマートコントラクトに一切触れていません。単一のAPIキーを侵害することで、Trust Walletの公式配布チャネルを通じて悪意のある拡張機能を公開し、手動レビューと標準リリースプロセスの両方を回避しました。ユーザーはアップデートを疑う理由がありませんでした。これはトップ10における唯一のウォレットサプライチェーン攻撃であり、オンチェーン監査ではカバーできないリスクカテゴリを露呈しています。それは、開発者とエンドユーザーの間のソフトウェア配信パイプラインのセキュリティです。
根本原因と攻撃手順について詳細をご覧ください。
Bunni
概要
2025年9月2日、Bunni V2はEthereum上のUSDC/USDTプールとUnichain上のweETH/ETHプールで840万ドルの被害に遭いました。その後、プロトコルは2025年10月23日に破産を宣言しました。根本原因は、流動性除去時のアイドルプール残高の更新における丸め誤差であり、これによりコントラクトは自身の総流動性を過小評価しました。
攻撃者は3段階の攻撃を実行しました。まず、プール価格を操作してUSDCの利用可能残高を枯渇させ、丸め誤差を増幅させました。次に、流動性の過小評価を蓄積する一連の小規模な引き出しを実行しました。最後に、方向性スワップを実行して、プロトコルの記録された流動性と実際の準備金の間のギャップを裁定取引しました。
選定理由
Bunni V2は複数のコード監査を受けていましたが、アイドル残高会計における軽微な丸め誤差は見逃されていました。誤差自体はトランザクションごとに無視できるものでしたが、攻撃者はプール状態を意図的に歪めた後、繰り返しの小規模な引き出しによってそれを増幅させ、小数点の精度損失を840万ドルの流出に変えました。この事例は、単独では安全に見える丸め誤差が、攻撃者がそれらが蓄積される条件と順序を制御した場合に悪用可能になることを示しています。
根本原因と攻撃手順について詳細をご覧ください。
1inch
概要
2025年3月5日、1inch Fusion V1に統合されたサードパーティリゾルバが、_settleOrder()における安全でないcalldata再構築により、500万ドル以上の被害に遭いました。攻撃者制御のinteractionLengthにより、リゾルバのIDと実行コンテキストを伝播させる動的サフィックスのインメモリでのアセンブリが破損し、偽造された決済データの挿入が可能になりました。リゾルバコントラクトは、Settlementコントラクトがmsg.senderのみに基づいて転送するcalldataを暗黙的に信頼していたため、偽造されたコンテキストはすべてのアクセス制御チェックを通過し、不正な資産抽出につながりました。
選定理由
このエクスプロイトは、スマートコントラクトの脆弱性と従来のバイナリ的エクスプロイトの境界を曖昧にします。経済的仮定や高レベルのビジネスロジックを悪用するのではなく、攻撃はポインタ演算、チェックされていない長さフィールド、ABIメモリレイアウトの仮定に依存しています。これらは、バッファオーバーフローやポインタアンダーフローのようなネイティブソフトウェアエクスプロイトでより一般的に見られるパターンです。低レベルのcalldataとメモリ操作が、特にコントラクト間の暗黙的な信頼チェーンと組み合わされた場合に、オンチェーンシステムに古典的なエクスプロイトプリミティブを再導入する方法を示しています。
根本原因と攻撃手順について詳細をご覧ください。
Panoptic
概要
2025年8月25日、CantinaとSeal911の協力を得て、Panopticはホワイトハットレスキューオペレーションを実施し、約40万ドルのリスク資産を確保しました。根本原因は、s_positionsHashの構築におけるコントラクトの欠陥でした。Keccak256ハッシュ結果を集計するためにXORを使用したことです。単一のハッシュ関数は衝突耐性を維持しますが、XORの数学的線形性により、全体のフィンガープリント(ハッシュのXOR合計)が安全でなくなり、異なるポジションセットが同一のハッシュを生成できるようになり、会計不変量を回避できるようになります。
選定理由
このリストのほとんどのインシデントは、算術バグまたはアクセス制御の欠如に起因しています。Panopticの脆弱性は異なります。それはデータ構造レベルでの暗号設計上の欠陥です。プロトコルはXORを使用してポジションフィンガープリントを構成しましたが、結果が基盤となるKeccak256ハッシュの衝突耐性を継承すると仮定していました。それはしません。XORの線形性は、攻撃者が同一のs_positionsHash値を生成する異なるポジションセットを構築できることを意味し、会計不変量を回避します。成功したホワイトハットレスキューは損失を防ぎましたが、根本的な欠陥は、ハッシュの構成がハッシュ関数自体と同じ注意を必要とするという有用なリマインダーです。
根本原因と攻撃手順について詳細をご覧ください。
