なぜレンディングプロトコルは依然として主要なDeFiハックの標的となるのか：67の歴史的悪用事例の解説

DeFiレンディングセクターは、継続的なセキュリティ課題に直面しています。記録された267件のDeFiインシデントのうち、レンディングプロトコルは67件の攻撃を受けており、分散型金融の中で最も頻繁に標的とされるセグメントとなっています。この攻撃の集中は、レンディングアプリケーションに投入される資本の規模と、その運用構造の複雑さの両方を反映しています。

レンディング市場におけるDeFiハッキングの規模

レンディングプラットフォームは、いくつかの構造的要因により悪意のある攻撃者から大きな注目を集めています。これらのアプリケーションは通常、安定したコインやイーサリアム、ビットコインなどの高価値担保を大量に保管しています。ほとんどのオンチェーンレンディングの許可不要性とスマートコントラクトの自動化に依存していることが、複数の潜在的な侵入点を生み出しています。

フラッシュローンの仕組みは、ユーザーが単一の取引内で瞬時に資産を借りることを可能にし、攻撃の手段として何度も悪用されています。同様に、価格オラクルフィードや清算メカニズムの脆弱性は、資金盗難の効果的なルートとなっています。一部のプラットフォームは、利息報酬として新しいトークンを発行することでリスクを増大させており、これがミント攻撃の機会を無意識のうちに生み出しています。レンディングプラットフォーム全体で530億ドルの総ロック資産があり、攻撃者にとっての経済的インセンティブは依然として高いままです。

スマートコントラクト：DeFiプロトコルの弱点

技術的な実装の欠陥は、レンディング分野での損失の主な原因を占めています。過去12ヶ月から2026年初頭までの間に、スマートコントラクトのバグが直接原因となり、5億2600万ドルの損失をもたらしたインシデントは48件に上ります。このパターンは、セキュリティ監査は価値があるものの、ブロックチェーンアプリケーションに内在するすべてのリスクを排除できないことを示しています。

二つ目の主要な脆弱性は、秘密鍵の漏洩やマルチシグウォレットの盗難に関わりますが、全体的な影響では技術的なコードの欠陥よりも低い位置にあります。専門的なセキュリティレビューを受けたプロジェクトでも重大な侵害を受けており、監査済みのプロトコルは合計で5億1500万ドルを失い、範囲外の攻撃による被害は1億9300万ドル、未監査のスマートコントラクトによる盗難は7700万ドルに達しています。これらは24件のインシデントに分散しています。

複数の攻撃手法：フラッシュローンから価格操作まで

価格操作の手法は特に被害が大きく、調査期間中に13件のインシデントと6,500万ドルの損失を生み出しました。これらの攻撃は、レンディングプロトコルがリアルタイムの価格フィードに依存していることを悪用し、担保の評価額を不自然に操作して清算や不正な借入を引き起こします。

実例として、Moonwellプロトコルは価格オラクルの欠陥により攻撃を受けました。歴史上のハッキング事件の上位30件のうち、未監査コードが原因となったケースは58.4％に上りますが、専門的な監査だけでは高度な攻撃戦略に対して十分な保護を提供できません。

監査状況はDeFiハッキング防止を保証しない

監査済みのプロトコルにおいても攻撃の継続は、ブロックチェーンアプリケーションが従来のソフトウェアと比べて根本的に異なるセキュリティ課題を抱えていることを示しています。各DeFiプラットフォームは複数の入力ベクトルにさらされており、外部データソースとの連携も含めて攻撃面を拡大しています。

また、ユーザーレベルのリスクも並行して存在します。クローンされた分散型取引所の増加は、実際には中央集権的な管理を行いながらも、分散型と偽る詐欺的なプラットフォームも含まれ、これらはユーザ預金を管理し、引き出し手数料を課すことで盗難を行います。これらのプラットフォームはDeFiの許可不要な環境を悪用しつつ、中央集権的なコントロールポイントを導入しています。

これらの攻撃パターン—技術的脆弱性、オラクルの失敗、ソーシャルエンジニアリング—を理解することは、プラットフォームのセキュリティや資本配分の判断において重要です。