投資
ローンチパッド
CandyDrop
キャンディーを集めてエアドロップを獲得
Launchpool
クイックステーキング
潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のエアドロップを無料で入手
Launchpad
次の大きなトークンプロジェクトを一足先に
Alphaポイント
NEW
オンチェーン資産を取引して、Airdrop報酬を楽しもう!
先物ポイント
NEW
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
PA日報 | Aave Labsはトークン保有者とプロトコル外の収益を共有する予定;2025年にSolanaのオンチェーン収益が6億ドルを突破し、イーサリアムとTRONを超える
5時間前
“韓国のバフェット”がKorbitの買収を計画、韓国第4位の取引所が巻き返しの兆し?
11時間前
人気の話題
もっと見る19.67K 人気度
54.83K 人気度
63.91K 人気度
92.65K 人気度
4.07K 人気度
人気の Gate Fun
もっと見る- 時価総額:$3.61K保有者数:10.00%
- 時価総額:$3.62K保有者数:10.00%
- 時価総額:$3.61K保有者数:10.00%
- 時価総額:$3.61K保有者数:10.00%
- 時価総額:$3.61K保有者数:10.00%
ピン
2025年Web3安全年度報告:サプライチェーン攻撃が最大の脅威に
作者:Beosin
前言
本研究報告はブロックチェーンセキュリティ連盟によって発起され、連盟メンバーのBeosin、Footprint Analyticsが共同で作成し、2025年のグローバルなブロックチェーンセキュリティ情勢を包括的に探討することを目的としています。世界のブロックチェーンセキュリティの現状分析と評価を通じて、現在直面しているセキュリティの課題と脅威を明らかにし、解決策とベストプラクティスを提供します。ブロックチェーンの安全性と規制はWeb3時代の発展において重要な課題です。本報告の深い研究と議論を通じて、これらの課題をより良く理解し対応することで、ブロックチェーン技術の安全性と持続可能な発展を促進します。
1、2025年Web3ブロックチェーンセキュリティ情勢概観
ブロックチェーンセキュリティ・コンプライアンス技術企業Beosin傘下のAlertプラットフォームの監視によると、2025年のWeb3分野においてハッカー攻撃、フィッシング詐欺、プロジェクト側のRug Pullによる総損失額は33億7500万ドルに達しました。重大なセキュリティ事件は合計313件で、そのうちハッカー攻撃は191件、総損失額は約31億8700万ドル;プロジェクト側のRug Pull事件は合計約1150万ドルの損失;フィッシング詐欺は113件、総損失額は約1億7700万ドルです。
2025年第1四半期の損失額は最も甚大で、ほとんどの損失はBybitのハッカー事件によるものです。ハッカー攻撃による損失額は四半期ごとに減少傾向にありますが、2024年と比較して大幅に増加し、77.85%の増幅を示しています。フィッシング詐欺とプロジェクト側のRug Pull事件の損失額は2024年と比べて著しく減少し、フィッシング詐欺の損失額は約69.15%、Rug Pullの損失額は約92.21%の減少となっています。
2025年に攻撃されたプロジェクトの種類にはDeFi、CEX、パブリックチェーン、クロスチェーンブリッジ、NFT、Memecoin取引プラットフォーム、ウォレット、ブラウザ、サードパーティコードパッケージ、インフラ、MEVロボットなど多岐にわたります。DeFiは依然として最も攻撃頻度の高いプロジェクトタイプであり、91件のDeFiに対する攻撃による損失は約6億2100万ドルです。CEXは総損失額が最も高いプロジェクトタイプで、9件の攻撃による損失は約17億6500万ドルで、総損失の52.30%を占めています。
2025年もEthereumは損失額が最も高いパブリックチェーンであり、170件のEthereum上のセキュリティ事件により約22億5400万ドルの損失が発生し、年間総損失の66.79%を占めています。
攻撃手法を見ると、Bybitの事件はサプライチェーン攻撃によるもので約14億4000万ドルの損失をもたらし、総損失の42.67%を占めています。それ以外には、コントラクトの脆弱性を利用した攻撃が最も頻繁に見られ、191件の攻撃事件のうち62件がコントラクトの脆弱性を利用したもので、割合は32.46%に達します。
2、2025年十大セキュリティ事件
2025年には損失額が1億ドルを超えるセキュリティ事件が3件発生しました:Bybit(14億4000万ドル)、Cetus Protocol(2億2400万ドル)、Balancer(1億1600万ドル)。次いでStream Finance(9300万ドル)、BTC巨大クジラ(9100万ドル)、Nobitex(9000万ドル)、Phemex(7000万ドル)、UPCX(7000万ドル)、Ethereumユーザー(5000万ドル)、Infini(4950万ドル)です。
例年と異なり、今年のトップ10のセキュリティ事件には個人ユーザーの巨額損失が2件含まれ、その原因は社会工学/フィッシング攻撃です。こうした攻撃は損失額が最大の手法ではありませんが、攻撃頻度は年々増加しており、個人ユーザーにとって大きな脅威となっています。
3、攻撃されたプロジェクトの種類
中央集権取引所が最も損失額の大きいプロジェクトタイプ
2025年の最大損失を出したプロジェクトタイプは中央集権取引所で、9件の攻撃により合計約17億6500万ドルの損失をもたらし、総損失の52.30%を占めています。その中で最大損失の取引所はBybitで、損失額は約14億4000万ドルです。その他の損失額の大きい取引所にはNobitex(約9000万ドル)、Phemex(約7000万ドル)、BtcTurk(4800万ドル)、CoinDCX(4420万ドル)、SwissBorg(4130万ドル)、Upbit(3600万ドル)があります。
DeFiは最も攻撃頻度の高いプロジェクトタイプで、91件の攻撃による損失は約6億2100万ドルで、損失額の第二位です。Cetus Protocolは約2億2400万ドルの盗難被害を受けており、DeFiの盗難資金の36.07%を占めます。Balancerの損失は約1億1600万ドルで、その他の大きなDeFiプロジェクトにはInfini(約4950万ドル)、GMX(約4000万ドル)、Abracadabra Finance(約1300万ドル)、Cork Protocol(約1200万ドル)、Resupply(約960万ドル)、zkLend(約950万ドル)、Ionic(約880万ドル)、Alex Protocol(約837万ドル)があります。
4、各チェーンの損失額状況
Ethereumが最も損失額が高く、セキュリティ事件も最多のチェーン
例年と同様に、Ethereumは引き続き損失額が最も高く、セキュリティ事件の発生回数も最多です。170件のEthereum上のセキュリティ事件により約22億5400万ドルの損失が発生し、年間総損失の66.79%を占めています。
セキュリティ事件の件数が2番目に多いのはBNB Chainで、64件の事件により約8983万ドルの損失を出しています。BNB Chainは攻撃回数が多い一方、損失額は比較的小さく、2024年と比べてセキュリティ事件の回数と損失額が大幅に増加し、損失額は110.87%増となっています。
Baseはセキュリティ事件の件数が3位で、合計20件の事件があります。Solanaは19件の事件でこれに次ぎます。
5、攻撃手法の分析
コントラクトの脆弱性を利用した攻撃が最も頻繁に見られる手法です。
191件の攻撃事件のうち、62件がコントラクトの脆弱性を利用したもので、割合は32.46%に達し、総損失は5億5600万ドルにのぼります。これは、サプライチェーン攻撃による損失を除けば最大の攻撃手法です。
コントラクトの脆弱性を細分化すると、最も損失が大きかったのはビジネスロジックの脆弱性で、合計損失額は4億6400万ドルです。上位3つのコントラクト脆弱性は、ビジネスロジック(53回)、アクセス制御(7回)、アルゴリズムの欠陥(5回)です。
今年の秘密鍵漏洩事件は合計20件で、総損失額は約1億8000万ドルです。発生回数と損失額は昨年と比べて大幅に減少しています。取引所、プロジェクト側、ユーザーの秘密鍵保護意識が向上しています。
6、典型的なセキュリティ事件の攻撃分析
6.1 Cetus Protocol 2.24億ドルのセキュリティ事件分析
事件概要
2025年5月22日、Suiエコシステム上のDEX Cetus Protocolが攻撃されました。脆弱性はオープンソースライブラリの左シフト演算の実装ミスに起因します。攻撃取引の一例として、(https://suivision.xyz/txblock/DVMG3B2kocLEnVMDuQzTYRgjwuuFSfciawPvXXheB3x?tab=Overview)の簡略化された攻撃手順は以下の通りです。
フラッシュローンを有効化:攻撃者は1000万haSUIをフラッシュローンで借り入れ。
流動性ポジションの作成:価格範囲を[300000, 300200]に設定した新しい流動性ポジションを開設。
流動性の追加:1単位のhaSUIだけを使って流動性を増加させたが、非常に高い10,365,647,984,364,446,732,462,244,378,333,008の流動性値を獲得。
流動性の除去:複数の取引ですぐに流動性を除去し、流動性プールを枯渇させる。
フラッシュローンの返済:フラッシュローンを返済し、約570万SUIを利益として保持。
脆弱性分析
今回の攻撃の根本原因は、get_delta_a関数内のchecked_shlwの実装ミスにあり、オーバーフロー検査に失敗しています。攻撃者は少量のトークンだけで流動性プール内の大量資産と交換でき、攻撃を実現しました。
以下の図のように、checked_shlwはu256の左シフト64ビットがオーバーフローを引き起こすかどうかを判断するために使われます。入力値が0xffffffffffffffff << 192未満の場合、オーバーフロー検査を回避しますが、左シフト後の入力値はu256の最大値を超える可能性があり(オーバーフロー)、checked_shlwは依然としてオーバーフローしなかった(false)と出力します。これにより、その後の計算で必要なトークン数を過小評価することになります。
さらに、Move言語では、整数演算の安全性はオーバーフローとアンダーフローを防ぐことを目的としています。具体的には、加算と乗算の結果が整数型の範囲を超えるとプログラムは停止し、除算の除数がゼロの場合も停止します。
しかし、左シフト(<<)の特性として、オーバーフローが発生しても停止しません。つまり、シフト量が整数型の容量を超えてもプログラムは停止せず、誤った値や予測不能な動作を引き起こす可能性があります。
6.2 Balancer 1.16億ドルのセキュリティ事件分析
2025年11月3日、Balancer v2プロトコルが攻撃されました。これには、そのフォークプロトコルを含む複数のプロジェクトが複数のチェーン上で約1.16億ドルの損失を被っています。攻撃者のEthereum上の攻撃取引例:0x6ed07db1a9fe5c0794d44cd36081d6a6df103fab868cdd75d581e3bd23bc9742
攻撃者はまずバッチスワップ機能を使って攻撃取引を仕掛け、BPTを大量に流動性プールの流動性トークンと交換し、プールの流動性トークンの残高を非常に低くしました。
次に、攻撃者は流動性トークン(osETH/WETH)のスワップを開始。
その後、流動性トークンをBPTに再交換し、複数のプールでこの操作を繰り返します。
最後に引き出しを行い、利益を得る。
脆弱性分析
ComposableStablePoolsはCurveのStableSwap不変式を用いて、類似資産間の価格安定性を維持しています。ただし、不変式計算のスケーリング操作には誤差が生じることがあります。
mulDown関数は整数除算の切り捨てを行いますが、この精度誤差が不変式の計算に伝播し、計算値を異常に低下させ、攻撃者に利益獲得の機会を与えます。
7、アンチマネーロンダリングの典型事例分析
7.1 米国制裁:Ryan James Weddingを中心とした麻薬密売組織
米国財務省の公開資料によると、Ryan James Weddingとそのチームはコロンビアとメキシコを経由して数トンのコカインを密輸し、米国とカナダに販売していました。彼らの犯罪組織は暗号通貨を用いたマネーロンダリングを行い、巨額の違法資金を洗浄しています。
Beosinのチェーン上追跡・調査ツールBeosin Traceを用いて、Weddingの麻薬密売組織に関連する暗号資産アドレスを分析した結果は以下の通りです。
TAoLw5yD5XUoHWeBZRSZ1ExK9HMv2CiPvP、TVNyvx2astt2AB1Us67ENjfMZeEXZeiuu6、TPJ1JNX98MJpHueBJeF5SVSg85z8mYg1P1の3つのWedding所有アドレスは合計266,761,784.24USDTを取り扱っており、一部資産はTether公式によって凍結されていますが、大部分は高頻度取引のアドレスや多段移転を経て洗浄され、Binance、OKX、Kraken、BTSEなどのプラットフォームに入金されています。
彼らのグループSokolovskiは、BTC、ETH、Solana、TRON、BNB Beacon Chainなど複数のブロックチェーンネットワークのアドレスを所有しており、その資金流れの分析結果は完全版レポートで確認できます。
7.2 GMXの資金4000万ドル盗難事件
2025年7月10日、GMXはリエントラント脆弱性を突かれて攻撃され、攻撃者は約4200万ドルを利益として得ました。Beosin Traceによると、盗難資金は攻撃者アドレス0x7d3bd50336f64b7a473c51f54e7f0bd6771cc355が利益を得た後、DEXプロトコルを通じて各種ステーブルコインやアルトコインをETHやUSDCに交換し、複数のクロスチェーンプロトコルを経由して盗難資産をEthereumネットワークに移転しています。
その後、GMXの盗難資産のうち約3200万ドル相当のETHは以下の4つのEthereumアドレスに分散して保管されています。
0xe9ad5a0f2697a3cf75ffa7328bda93dbaef7f7e7
0x69c965e164fa60e37a851aa5cd82b13ae39c1d95
0xa33fcbe3b84fb8393690d1e994b6a6adc256d8a3
0x639cd2fc24ec06be64aaf94eb89392bea98a6605
約1000万ドルの資産はArbitrumネットワークのアドレス0xdf3340a436c27655ba62f8281565c9925c3a5221に保管されています。
本事件の資金洗浄経路は非常に典型的で、攻撃者はDeFiプロトコルやクロスチェーンブリッジを利用して資金の経路を混乱・隠蔽し、規制当局や法執行機関の追跡・凍結を回避しています。
8、2025年Web3ブロックチェーンセキュリティ情勢総括
2025年、フィッシング詐欺やプロジェクト側のRug Pullによる損失額は2024年と比べて明らかに減少しましたが、ハッカー攻撃は頻発し、損失額は31億ドルを超えています。最も損失の大きいプロジェクトタイプは依然として取引所です。秘密鍵漏洩に関するセキュリティ事件は減少傾向にあり、その主な理由は以下の通りです。
昨年の激しいハッカー活動の後、今年のWeb3エコシステムはより安全性に重点を置くようになり、プロジェクト側やセキュリティ企業は内部セキュリティ運用、リアルタイムのチェーン監視、安全監査の強化、過去のコントラクト脆弱性利用事件からの教訓の吸収、秘密鍵管理とプロジェクト運営の安全意識の向上に努めています。コントラクトの脆弱性や秘密鍵盗難の難易度が高まる中、攻撃者はサプライチェーン攻撃やフロントエンドの脆弱性など他の手段を用いて、ユーザーを騙し資産をハッカーの管理するアドレスに移させるケースも増えています。
また、暗号市場と伝統的市場の融合により、攻撃対象はDeFiやクロスチェーンブリッジ、取引所だけでなく、決済プラットフォーム、ギャンブルプラットフォーム、暗号サービス提供者、インフラ、開発ツール、MEVロボットなど多様化し、より複雑なプロトコルの論理的欠陥を狙った攻撃も増加しています。
個人ユーザーにとっては、社会工学/フィッシング攻撃や暴力的脅迫の可能性が個人資産の安全にとって重大な脅威となっています。現在、多くのフィッシング攻撃は金額が小さく、被害者が個人ユーザーであるため公表や記録されていないケースも多く、その損失データは過小評価されがちです。ユーザーはこうした攻撃に対する警戒心を高める必要があります。また、暗号資産の人質化や暴力的脅迫を伴う物理的攻撃も今年何度か発生しており、個人は自身の身分情報を守り、暗号資産の公開露出をできるだけ減らすべきです。
総じて、2025年のWeb3のセキュリティは依然として厳しい課題に直面しており、プロジェクト側と個人ユーザーは油断できません。今後はサプライチェーンの安全性がWeb3セキュリティの最重要課題となる可能性があります。業界の各関係者は、インフラサービス提供者の継続的な保護と、サプライチェーン内の脅威の監視・警告をいかに行うかが大きな課題です。また、AIを活用した社会工学/フィッシング攻撃は今後も増加する可能性があり、個人の意識向上から技術的防御、コミュニティの協力まで、多層的・リアルタイム・動的な防御体制の構築が求められています。