2025年の暗号資産盗難は、より少数の大規模侵害に集中

ハッカーはこの1年で34億ドル超の暗号資産を盗み、損失は少数の高インパクトな侵害に集中した。

Chainalysisによる分析では、北朝鮮のハッカーによるBybitの侵害により約15億ドルが盗まれ、総損失の大きな割合を占めた（参照：Bybit、盗難に遭ったイーサを14億ドル分回復）。

Chainalysisで国家安全保障インテリジェンス部門の責任者を務めるAndrew Fierman氏は、主要な侵害件数は行動の変化を示していると述べた。「私たちは、より小規模な、あるいは報告されていない攻撃を把握していることも多い」と同氏はInformation Security Media Groupに語った。「しかし北朝鮮は、より複雑で大規模なハックを狙い続けており、今年は上位3件のハックが確認済み侵害の69%を占めた」。北朝鮮の国家支援ハッカーは、政府を支え、大量破壊兵器の開発計画を推進し、さらにはハッキング作戦そのものを支援するために暗号資産を盗んでいる。

中央集権型サービスを狙うハックは、攻撃の全体像の中では範囲が狭いものの、重大な位置を占める。秘密鍵の侵害は比較的まれだが、Chainalysisはその影響が不釣り合いに大きいと述べる。単一の侵害が四半期の損失額を左右し得ることは、攻撃頻度よりもアクセス権限と特権が金銭的被害を決定づけることを改めて示している。

Bybitの事案は年間のハッキング損失総額を押し上げたが、Fierman氏は、これを計算から除外しても脅威評価の本質は変わらないと述べた。「Bybitを除けば総額は大きく下がるが、根底にある脅威は変わらない」と同氏は言う。「中央集権型サービスに対する高度な攻撃は依然として観測されており、1～2件の重大な侵害が1年全体を形作り得るため、リスクは高いままだ」

Chainalysisは、2025年における高額なサービス侵害の大半は平壌の脅威アクターによるものだと報告している。確認された事案数は少ないにもかかわらず、少なくとも20億2,000万ドルという過去最高の盗難額に達した。データは、防御を繰り返し突破しようとするよりも、深く持続的なアクセスを得られる作戦に重点が置かれていることを示唆している。

同氏によれば、北朝鮮は「ミキサー、DeFiプロトコル、ブリッジ、KYC不要の取引所、中国語圏のマネーロンダリング・ネットワークを含む、合理化された資金洗浄ワークフローの開発を継続している」。この一貫性は規律と経験を示す一方で、取引所・法執行機関・ブロックチェーン・インテリジェンスが連携して妨害できるポイントも生み出しているという。

マネーロンダリングの行動は、他の暗号資産犯罪者に見られるものとは異なる。北朝鮮のハッカーは、中国語圏の資金移動サービス、クロスチェーンのインフラ、そして一部の専門プラットフォームを強く好む。Chainalysisはこれを、幅広いサービスを試す実験というより、運用上の制約と既存の地域ネットワークへの依存を示す証拠だと解釈している。

プラットフォームを狙う国家関連アクターが最大級の強奪を引き起こした一方で、個人ユーザーもデジタル略奪のリスクにさらされている。Chainalysisは、2025年の個人ウォレット侵害が総盗難額の相応の割合を占め、暗号資産の普及拡大とともに事案数と被害者数が増加したと推計している。同時に、個人ウォレットから盗まれた総額は前年から減少しており、被害者1人当たりの損失が小さくなっていることを示している。

被害の出方はネットワークによって異なる。アクティブウォレット基盤に対して盗難率が高いブロックチェーンもあれば、同程度のユーザー人口にもかかわらず盗難率が低いものもある。Chainalysisは、こうした差異をプロトコル設計そのものではなく、ユーザー行動、人気アプリケーション、特定エコシステムに結び付いた犯罪インフラの成熟度の組み合わせによるものだとしている。

セキュリティは競争上の差別化要因になり得る。「取引所の盗難がより大規模で注目度の高いものになるにつれ、侵害を防ぐツールを含む堅牢なセキュリティ実務は競争優位になる。顧客は最も安全なプラットフォームに資金を置こうとするからだ」とFierman氏は述べた。

分散型金融（DeFi）は、この12カ月で異なる軌跡をたどった。DeFiプロトコルへ資本が戻りつつあるにもかかわらず、ハック関連の損失はそれに比例して増加しなかった。これは、ロックされた総価値（TVL）の増加が盗難の増加と密接に連動していた他の年とは、顕著に異なる動きだ。

Fierman氏は、DeFiの損失が低水準にとどまった理由を複数挙げた。「資本が戻ってきたにもかかわらずDeFiの損失が比較的低かったのは、長年運用されているプロトコルでセキュリティが改善したことを反映している可能性がある」と同氏は述べた。「しかし、BalancerとYearnに対する最近の事案が示すように、脆弱性は依然として残っている。攻撃者は、より高いリターンが見込める中央集権型サービスを優先している可能性もある」

9月に発生したVenus Protocolに関するセキュリティインシデントは、DeFiにおける対応能力がどのように進化したかを示している。攻撃者が侵害されたエンドポイントを通じて初期アクセスを得た後、資金が移動される前に監視システムが不審な活動を検知した。プロトコルは停止され、取引は巻き戻され、最終的に攻撃者は利益を得られなかった。

Chainalysisはこの事案を、攻撃が存在しないことの証拠ではなく、検知の高速化と連携した対応の証拠として位置付けている。初期侵害後であっても侵害を中断・封じ込める能力が、攻撃の成功が恒久的な損失につながることが多かった以前の年と比べ、いくつかのDeFi事案における金銭的な結果を変えている。