DeFiハッキングが80%減少も、マルチチェーンの欠陥が新たなリスクとして浮上

分散型金融は過去6年間でかなり安全になった。2020年から2025年にかけてのプロトコル損失に関する新しいレビューが、その主張を裏付ける大きな数字を示している。

業界全体のDeFi損失は2022年に26億2000万ドルでピークに達し、2024年までに約80%減少して5億3400万ドルになった。かつて数十億ドル規模の見出しを飾っていたブリッジハックは、現在では年間合計のごくわずかな割合を占めるにすぎない。現在の典型的なエクスプロイトによる被害は、ピーク時の約4分の1程度だ。

チェーンとユーザーが増えても損失は減少

データの中で心強い点は、安価で繰り返し可能な攻撃がほぼ根絶されたことだ。DeFiの預かり資産（TVL）が上昇し続ける中でも、2年間で総損失は80%減少した。1インシデントあたりの損失中央値は2022年の600万ドルから2025年には150万ドルへと、75%低下した。

固有インシデントの件数は2025年に83件まで増加した。ハック件数は増えているが、1件あたりの被害はずっと小さくなっている。これは、成熟しつつあるセキュリティ分野に期待される姿と概ね一致している。

ブリッジは2021年と2022年における主要な脆弱性だった。2022年だけで9件のブリッジエクスプロイトが発生し、19億ドルの損失をもたらした。Ronin Bridgeだけで6億2400万ドルの損失を計上した。ブリッジハックはその年のDeFi損失全体の73%を占めた。2025年には、ブリッジの割合は3%にまで激減した。改善された検証メカニズム、分散型バリデータセット、そしてネイティブなクロスチェーンメッセージングへのシフトがこのカテゴリの縮小に貢献した。

フラッシュローン攻撃も同じように減少した。2020年には全損失の54%を占めていたが、2025年には1%未満になった。プロトコルはこの攻撃に特化した防御策を採用した。時間加重平均価格、Chainlinkオラクルの統合、再入攻撃ガード、そして単一のアトミックトランザクション内で攻撃者が価格を操作できることを前提とした設計などだ。

秘密鍵の漏洩も同様に減少した。2022年の損失の28.7%から2025年には8.1%に低下した。これらのカテゴリはそれぞれ、業界が繰り返しのパターンを認識し、標準化された対策を構築したことで縮小した。

残る課題はより対処が難しい

汎用的な攻撃を封じることで、はるかに困難なカテゴリが残された。2025年、DeFi損失の89.1%はプロトコルロジックのエクスプロイトによるものだった。これらは、アプリケーションの設計方法に固有のコードレベルの欠陥だ。ブリッジハックには認識可能なトラスト前提が伴う。フラッシュローン攻撃は既知の手法ファミリーの一部だ。どちらも再利用可能なパターンで防御できる。

プロトコルロジックのバグは本質的に個別のものだ。単一のコードベースの特定の数学、アクセス制御、またはコンポーザビリティの選択から生じる。各インシデントが独自のパズルであるため、体系的に防御することは難しい。

マルチチェーン展開がバグを危機に変える

マルチチェーン展開は、こうした個別のバグを本格的な危機へと変える。主要なプロトコルはイーサリアム、Base、Arbitrum、Polygon、OP Mainnet、Sonicなど複数のチェーンに同じコードを展開することが多い。単一の欠陥が、それを実行しているすべてのネットワークで同時に資金を流出させる可能性がある。

2024年11月、BalancerのV2 Composable Stable Poolsが6つのブロックチェーンにまたがって30分も経たないうちに約1億2800万ドルが流出したとき、私たちはこれを目の当たりにした。Check Point Researchによると、攻撃者はプールの不変数式における算術精度の欠陥を悪用した。トークンの残高を丸め境界に誘導し、バッチスワップを連鎖させることで、わずかなエラーが積み重なって完全な流出へとつながった。

同じ脆弱性を持つコントラクトはイーサリアム、Arbitrum、Base、Polygon、Sonic、OP Mainnetに展開されていた。欠陥はコード自体に埋め込まれており、そのコードがあらゆる場所にコピーされていたため、エクスプロイトは一度にすべてのネットワークに及んだ。11回の独立した監査でも発見できなかった。

ImmuneFiのレポートは、2021年の約6億1100万ドルのPoly Networkエクスプロイトから2025年のBalancerまで直接的な線を引いている。Poly Networkはシステム間の接続ポイントでの失敗だった。Balancerは、コード、署名者パス、および検証前提を共有するネットワーク全体で同じロジックが同様に失敗したものだ。

安全性の測定方法が変わった

チェーンが主要プロトコルのデフォルト展開マップの一部になると、そのチェーンはホストしているすべてのリスク領域を吸収する。レポートはマルチチェーンエクスプロイトによる全損失を影響を受けた各チェーンに帰属させている。6つのネットワーク全体の参加者が全損失にさらされた。

Polygon、OP Mainnet、Base、Sonicの2025年のハック数値はBalancerの連鎖的影響を大きく受けている。レポートは集中型取引所の障害を完全に除外している。今年最大の単一窃盗事件である、FBIが北朝鮮に帰属させた15億ドルのBYBITハックは、プロトコルの失敗ではなくカストディの失敗と見なされている。

損失対TVL比率で見ると、主要エコシステムの中で最も安全な層はイーサリアムが約0.42%、Solanaが0.42%、BNB Chainが0.33%だった。この3つの最大のDeFiエコシステムは、規模とセキュリティが共に向上していることを示唆している。

損失は今や他の場所からインポートされた欠陥を持つアプリでも発生する可能性がある。マルチチェーンアプリを魅力的にする利便性こそが、このミスをローカルから共有のものへとエスカレートさせる原因だ。暗号資産は部分的に単一システムへの依存を避けるために別々のチェーンを立ち上げた。その全てにわたって同じわずかな人気プロトコルを実行することで、それらのチェーンが逃れようとしていた集中性が再構築されてしまった。

次の大きなインシデントは、発生日には小さく見えるかもしれない。広く展開されているプロトコルの単一のロジックバグだ。その真の規模は、同じ脆弱なコードがずっと前から数十のネットワークに存在していたと人々が気づいたときにのみ明らかになる。

The post DeFi hacks drop 80% but multi-chain flaws emerge as new risk appeared first on TheCryptoUpdates.