ChainalysisとImmunefiの報告に基づくベトナムブロックチェーン協会（VBA）研究開発部の統計によると、2020年から2025年2月25日までの期間に世界では657件の暗号通貨取引所のハッキングが記録され、最大128億ドルの損失が発生しており、世界的なサイバーセキュリティリスクの警告となっている。

2022年は219件のサイバー攻撃が発生し、約38億ドルの損失が発生したため「ピーク」とみなされています。 2025年はまだ最初の2か月に過ぎませんが、市場ではすでに20件のハッキングが記録されており、その総額は25億ドル近くに達しています。

2020年から2025年初頭にかけての有名なハッキング

2025年初頭、Bybitは15億ドルの盗難被害に遭い、大きな打撃を受けた最新の企業となった。次は、クロスチェーンブリッジの脆弱性を悪用されたことでゲーム「Axie Infinity」のネットワークに影響を及ぼし、6億1500万ドルの損失をもたらしたRoninハッキング（2022年）です。

過去5年間で3番目に大きなハッキングはPoly Network（2021年）で、6億1000万ドルが盗まれましたが、ハッカーは交渉の末、資産の大部分を返還しました。

DMMビットコイン攻撃（2024年）により、取引所から3億ドルの純引き出しが発生しました。この事件は秘密鍵の侵害に端を発し、その後まもなくDMM Bitcoinのサービスが停止に追い込まれた。

第5位は、Kucoin取引所への攻撃（2020年）で、金額は2億8,100万ドルで、主にイーサリアムとビットコインを標的とし、ブロックチェーンコミュニティにパニックを引き起こしました。

一般的な攻撃の形態

VBA研究開発部門の統計によると、2020年から2025年2月25日までの間に、暗号通貨分野では、秘密鍵の侵害、クロスチェーンブリッジ攻撃、スマートコントラクトの悪用という3つの主な攻撃形式がありました。

秘密鍵の侵害はハッキング全体の36%を占め、235件のハッキングが発生し、56億ドルの損失（総損失の44%）が発生しました。こうしたタイプの攻撃は、集中型取引所 (CEX) や個人のウォレットで発生することが多く、ハッカーはそこで秘密鍵を盗み、資産を掌握します。 2024年にサイバー犯罪者はこの方法で13億4000万ドルを盗みました。

鎖橋への攻撃も大きな被害をもたらします。このグループでは79件のハッキングが発生し、全体の12%を占め、損失額は12億5000万ドルと推定されています。これにより、ブロックチェーン ネットワーク間の取引が厳重に保護されていない場合の大きなリスクが浮き彫りになりました。

一方、スマートコントラクトの悪用はブロックチェーン分野で最も一般的な手法であり、ハッキング全体の58%を占め、損失は最大69億5000万ドルに上ります。ハッカーはスマートコントラクトコードの脆弱性を悪用して攻撃を仕掛け、分散型金融プロトコルから資産を盗んでいます。 2022年には、この種のハッキングが合計150件発生し、24億ドルの損失が発生しました。これは盗難された総額の82.1%を占めています。

TS。ベトナムブロックチェーン協会の技術専門家、ABAII研究所の科学評議会メンバー、ド・ヴァン・トゥアット氏

スマート コントラクトがしばしば標的にされる理由について、ベトナム ブロックチェーン協会の技術専門家であり、ABAII 研究所の科学評議会のメンバーでもある Do Van Thuat 博士は、スマート コントラクトはブロックチェーン ネットワーク上のさまざまなアプリケーション (dapps) 用にプログラムされ、展開されるトランザクション ルールであると述べました。ブロックチェーンは非常に安全ですが、そのアプリケーション（分散型金融 DeFi など）のセキュリティは、契約で指定された一連の動作ルールにも依存します。ルールに欠陥があったり抜け穴があったりすると、安全性が低下して悪用され、金銭的な損失につながる可能性があります。これは現実世界の民事契約やビジネス契約に似ています。

「スマートコントラクトは膨大な資産を保有し、毎日数十億ドル規模の取引を処理します。また、誰でも契約を読み、操作できるため、ハッカーにとって格好の標的となります。Bybit、Ronin、Poly Networkへの攻撃に戻ると、これらのプラットフォームは資産をマルチシグネチャ・スマートコントラクトに保管しているという共通点があります。つまり、資金を引き出すには、契約を管理する多くの人々からの同時承認のデジタル署名が必要になります。これらのコントラクトはオープンソースであり、徹底的に監査されており、非常に人気があります」とトゥアット博士は述べています。

Bybit のハッキングについて簡単に説明すると、Thuat 博士は、オープンソースのマルチ署名ウォレット Safe を使用した契約において、ハッカーが実際にスマート コントラクト マネージャー (秘密鍵を持つ各人が契約に署名する権利を持つ) を攻撃したと述べました。ハッカーたちは、ある「洗練された」方法で管理者たちを知り、彼らを騙して、犯罪者が資金を引き出せるようにした。スマート コントラクトは厳重にロックされた金庫室のようなもので、泥棒は錠を破ることはできませんが、鍵の所有者を騙してドアを開けさせ、泥棒が侵入してお金を盗むことは可能です。

技術的な側面をさらに深く見てみると、ユーザー インターフェイス (UX/UI) は、クラウド プラットフォーム上の従来の IT システム (Web2 など) を通じて管理および操作されることがよくあります。ハッカーはAWS上のSafeのサーバーの脆弱性を悪用し、悪意のある情報を挿入して隠蔽し、管理者を主観的にし、ハッカーが契約ルールを変更する許可に署名させ、そこからハッカーが資金を引き出すことができました。

「この攻撃はベトナムを含む世界中の多くの権威ある治安部隊によって分析されている」とトゥアット博士は述べた。

ベトナムブロックチェーン協会Web3委員会委員長グエン・チュン・タン博士

ベトナムブロックチェーン協会Web3委員会のグエン・チュン・タン委員長は、トゥアット博士と同じ意見で、攻撃を実行するのは簡単ではなく、多くの条件が必要であると述べた。攻撃者は、システムの弱点、特に Web2 コンポーネントと人的要素を特定するために、注意深く、持続的かつ綿密な監視を実施しました。

「これらの脆弱性は常に存在するわけではなく、ゴーライブ（製品を実際の環境に導入するプロセス）、人材管理、オープンソースコード管理などのプロセスに不備があった場合、あるいは「信頼できる」と思われているにもかかわらず攻撃を受けたサードパーティの製品を使用した場合にのみ発生する可能性があります。一部の脆弱性は長い間存在していたものの、発見・修正が間に合わなかった可能性があります。ハッカーがこれらの脆弱性を発見すると、侵入を実行するための悪用の標的となります」とタン博士は評価しました。

ベトナムブロックチェーン協会の技術専門家であり、米国シアトルのVeramine Inc.の共同設立者兼副社長であるNguyen Duy Lan博士は、暗号通貨への攻撃は、多くの場合、脆弱性の悪用とソーシャルエンジニアリング技術の使用を組み合わせて、システムのWeb 3とWeb 2の両方の部分におけるさまざまな弱点を狙っていると分析しました。 Web 3 では、コーナーケースの安全でない処理、数学的な加算と減算のエラー、暗号化の脆弱性など、スマート コントラクトの論理エラーがよく悪用されます。

「一方、Web 2 部分は様々な方法で攻撃を受ける可能性があり、多くの場合、ユーザー、管理者、またはブリッジの秘密鍵が標的となります。これらの鍵がハードウェアセキュリティ管理システム（HSM）やコールドウォレットなどのハードウェアセキュリティデバイスで保護されている場合、盗難はほぼ不可能になりますが、予測可能な鍵を生成する可能性のある暗号化エラーに対する対策は依然として必要です。攻撃者は主に、鍵を管理するソフトウェアシステムに侵入し、システムと管理者を欺くマルウェアをインストールすることで、これらの鍵の保護機能にアクセスしたり、それを回避したりすることを狙っています」とラン博士は評価しました。

ベトナムの将来にとっての解決策は何でしょうか?

ますます巧妙化するハッカー攻撃は市場に大きな影響を与え、投資家の感情にも影響を与えています。しかし、トゥアット博士は、主な原因は契約に抜け穴があることではなく、スマートコントラクトの管理者が騙されていることにあると断言した。ほとんどの契約は依然として安全であり、スマート コントラクトを介したブロックチェーン アプリケーションの可能性は依然として非常に大きく、将来有望です。

ハッキングされるリスクを最小限に抑えるために、VBA の技術専門家は、契約開発者とオペレーター (秘密鍵を保持) は常に安全性を最優先し、情報セキュリティおよびシステム セキュリティ ユニットに相談してハッカーを防ぎ、リスクを最小限に抑える必要があると考えています。

「セキュリティツールの開発、テストの実施、監査、侵入テストなど、技術、人材、セキュリティプロセスへの投資は不可欠です。また、アクティビティ監視システムを構築し、異常を検知するために人工知能（AI）を活用することも必要です。セキュリティは、設計から導入まで、暗号通貨システムの開発プロセス全体に統合する必要があり、従来の情報技術業界のセキュリティプロセスから学ぶことができます」と、グエン・デュイ・ラン博士は述べています。

グエン・チュン・タン博士は、情報セキュリティの分野で絶対的な安全性を確保することは不可能であり、リスクを最小限に抑え、起こりうる状況に備えることしかできないという意見を述べました。

「テクノロジーへの投資は軽視すべきではありません。短期的にはコスト削減につながるかもしれませんが、セキュリティへの配慮を怠れば、長期的には深刻な結果を招くことになります。ベトナムブロックチェーン協会の著名な会員は、大企業がデジタル資産の安全性を確保できるよう、常に寄り添い、支援する用意があります」とタン博士は述べています。

最近の暗号資産取引所へのハッキング事件を受けて、ベトナムブロックチェーン協会のファン・ドゥック・チュン会長は、ベトナムが情報セキュリティ基準と暗号資産管理を早急に確立するよう求めた。 「デジタル資産市場が成長を続ける中で、明確な法的枠組みの欠如は投資家を脆弱な立場に置くだけでなく、ブロックチェーン業界の可能性を制限しています。法律を基盤として初めて、ユーザーを保護し、イノベーションを促進する信頼できる暗号資産エコシステムを構築できるのです」とチュン氏は強調しました。