暗号資産の取り組みが侵害されると、当初の資金流出はしばしば苦難の中では最も小さな問題に過ぎない。はるかに危険なのは、その後に続く余波である。業界の専門家によれば、深刻な侵害の後、根本的な技術的脆弱性が修正されたとしても、プロジェクトの約80%は完全な回復を遂げられないという。
Web3セキュリティプラットフォームImmunefiのCEOであるミッチェル・アマドールは、主要なセキュリティインシデントに対処するうえで、開発チームの大半が著しく準備不足だと主張している。彼は、プロトコルが自らの脆弱性を真に理解しないまま、また一貫した緊急時対応計画もないまま運用されていることが多いと述べる。エクスプロイトの発見直後、プロジェクトはしばしば麻痺したような停滞に陥り、危機の最初の数時間が最も壊滅的なものとなる。
事前に定められた手順がない場合、チームは侵入の性質を解読しようとして貴重な時間を浪費する。意思決定は鈍く場当たり的になり、災害の規模は慢性的に過小評価される。アマドールが指摘するように、この重大な時間帯に二次的な資金流出がしばしば発生する。
この不安定さは、評判の維持に過度にとらわれることでさらに悪化する。多くのプロジェクトはスマートコントラクトの停止をためらい、ユーザー基盤とのコミュニケーションは遅れるか、完全に途絶えてしまう。アマドールは、そのような沈黙はパニックを鎮めるどころか、必ず増幅させると強調する。最終的にプロジェクトの死を決定づけるのは侵害そのものではなく、対応局面における信頼の蒸発と運用ガバナンスの崩壊である。
Kerberusの責任者アレックス・カッツもこの見解に同調し、技術的に精密に解決されたインシデントであっても、それが終わりの始まりになることが多いと述べる。ユーザーは離れ、流動性は消え、評判の汚点は消えない。例外はあるものの、大規模なエクスプロイトは通常、プロジェクトの存続可能性にとって死の宣告となる。
さらに、これらの攻撃の形態は進化している。かつてはスマートコントラクトの脆弱性が苦境の主因として君臨していたが、損失はますます人的・運用上の過誤に起因するようになっている。カッツは、ユーザーが有害な取引を承認するように誘導されたり、詐欺的なインターフェースに関与したり、誤って秘密鍵を漏らしたりするケースが頻発していると指摘する。
今月初めには、単一のユーザーがビットコインとライトコインで2億8200万ドル超を失い、記録上でも最も重大なソーシャルエンジニアリング攻撃の一つとなった。攻撃者はTrezorのサポート担当者になりすまし、被害者にハードウェアウォレットのリカバリー用シードフレーズを明かすよう説得した。
累計すると、2025年は暗号資産盗難において陰鬱な記録を打ち立て、総損失は34億ドルに達した。これは2022年以来の最高額である。12月上旬までに、14億ドル規模のBybit侵害を含むわずか3件の事件が、全損失の69%を占めた。Bybitへの攻撃だけで、年間総損失のほぼ半分に相当した。
アマドールは、スマートコントラクトを完全に迂回し、組織のプロセスやインフラに内在する脆弱性を狙う攻撃が増えていると述べる。人工知能の進歩はこの傾向をさらに後押しし、フィッシングキャンペーンをスケールさせて、日々何千通もの個別最適化された欺瞞メッセージを拡散できるようにしている。
こうした暗い統計にもかかわらず、専門家は慎重な楽観を保っている。アマドールは、洗練された開発手法、厳格な監査、より高度なツール群に支えられ、スマートコントラクトのセキュリティが前例のない速度で進歩していると考えている。彼は、2026年がこれまでで最も強靭なスマートコントラクトの完全性を実現する年になる可能性があると見込む。
それでもなお、最大の未解決課題はインシデント対応準備である。アマドールは、侵害が発生した場合、チームは迅速に行動し、事態の全容が把握できていない段階であっても、関係者と透明性のある対話を維持しなければならないと強調する。彼は、プロトコルの早期停止は、組織的な躊躇から生まれる混乱と曖昧さよりも、ほぼ例外なく被害が小さいと結論づけている。
翻訳元: https://meterpreter.org/the-death-spiral-why-80-of-hacked-crypto-projects-never-recover/
