2026年4月 暗号資産史上最も破壊的な月

2026年4月は公式に記録された中で最悪のDeFiセキュリティ侵害の月となった。

DefiLlamaのデータによると、月間の暗号資産損失額は6億2969万ドルに達し、分散型金融の歴史上単一月で最も高い数字となった。

DeFiプロトコルが6141万7千ドルの損失を占め、攻撃の状況を完全に支配した。

これらの攻撃の規模、速度、洗練度は業界全体を揺るがすほどのものであった。

4月を破壊した2つの攻撃

2つの攻撃が4月の総損失の約95％を占めている。

SolanaのDrift Protocolは4月1日に2億8500万ドルを失った。

分析者はこの事件を北朝鮮のラザルスグループに関連付けたソーシャルエンジニアリング攻撃と結びつけている。

次に4月18日、Kelp DAOは2億9200万ドルから2億9300万ドルを失った。

この脆弱性はLayerZero V2ブリッジルートを標的とし、単一障害点として設定されていた。

両事件は北朝鮮のラザルスグループのハッカーに関連付けられている。

これらの侵害はコードのバグや積極的なサイバー侵入によるものではなく、社会工学と正当な操作を組み合わせた長期にわたる作戦の結果だった。

追加の損失は、Rhea Financeの1,840万ドルの損失とGrinexからの1,500万ドルの盗難を含み、盗まれた資本の総量は歴史的に驚くべきレベルに達している。

感染拡大の影響 一つのハックがエコシステムを破壊した方法

2026年4月18日のKelp DAOの脆弱性では、攻撃者がLayerZeroの検証ノードを汚染し、116,500の裏付けのないrsETHを鋳造した。

これにより、DeFiセクター全体で6億ドルを超える損失が引き起こされた。

総DeFi TVLは12ヶ月ぶりの最低水準に崩れ、資本の流出はステーキング、貸付、クロスチェーンブリッジのプロトコルで加速した。

従来のハッキングは多くの場合、単一プラットフォームに限定されていたが、これらの最近の侵害はDeFiの構成要素を武器化した。

rsETHのような資産は担保や流動性として少なくとも9つの主要プラットフォームで利用されているため、単一のブリッジインフラの侵害が瞬時に流動性危機を引き起こした。

Aaveを含む主要な貸付プロトコルは、更なる悪用を防ぐために緊急の市場凍結を開始せざるを得なかった。

攻撃後最初の48時間で、84億ドル以上の預金がAaveから流出し、全てのDeFiプロトコルのTVLは130億ドル以上減少した。

4月24日にはEthereumだけで16億ドルの資金流出があった。

規模の比較 前月と比べて

DefiLlamaのデータによると、4月の6億6200万ドルの合計は、すでに第1四半期の1億6550万ドルの損失を超えている。

これにより、4月は1月、2月、3月を合わせた規模の約3.7倍となった。

4月の損失規模は3月と比べて大きく、CertiKによると2026年3月の総損失は約5950万ドルで、145件の個別事件に分散していた。

4月の損失は少数の大規模失敗に集中し、1ヶ月で10倍以上に膨れ上がった。

KelpDAOとDrift Protocolの2つの攻撃だけで、4月の総損失の95％と2026年の総額7億7180万ドルの75％を占めている。

攻撃頻度は年々68％増加

ハッキングの頻度は急激に上昇している。

2026年の最初の4.5ヶ月でDeFiは47件の事件を記録し、2025年の同期間の28件と比べて約68％増となった。

変化したのは規模だけでなく洗練度も高まっている。

初期のDeFiの脆弱性は明らかなスマートコントラクトのバグを狙ったものだった。

監査人は適応し、コードレビューは改善され、主要なプロトコルでは正式検証が標準となった。

しかし攻撃者も変化した。

新たな標的はブリッジ層、オラクルシステム、署名インフラ、マルチシグキーの攻撃対象となり、標準的なスマートコントラクトよりも監査が難しい。

規制の対応

この状況を背景に、規制当局は注視している。

4月21日にSECのポール・アトキンス委員長は、トークン化された証券が初めてオンチェーンで取引可能となる「イノベーション免除」のリリースを間近に控えていると発表した。

これは2026年3月にSECとCFTCが共同で発表したトークン分類法に続くもので、多くの暗号資産を証券法の対象外と分類している。

CLARITY法案に関する議論も進行中で、ステーブルコインに焦点を当てている。

これにより、DeFiの潜在的な影響に対する懸念が高まっている。

最近のプロトコルハッキングは単なる資本の損失以上の意味を持ち、「DeFi FUD」がこのサイクルのセンチメントを左右する重要な要因となる可能性もある。

ジェフリーズは、これらのハイプロファイルなハッキングの連鎖が一時的にウォール街のDeFiトークン化プロジェクトへの意欲を鈍らせる可能性を警告している。

専門家の見解

Ledgerのセキュリティ責任者は率直に述べた：「2026年は再びハッキングの最悪の年になる可能性が高い。」

Aaveのリスクチームは、資金凍結前にローン担保として使われた裏付けのないrsETHの回収率に応じて2つの悪債シナリオをモデル化している。

AaveのTVLは264億ドルから約180億ドルに崩壊し、ユーザーがリスクを回避したために84億ドルの資金が引き揚げられた。

DeFiは設計上、ユーザーに全責任を負わせている。

チャージバックも詐欺保護チームもアカウント回復の流れも存在しない。

何か問題が起きたとき、2026年4月のように事態が非常に悪化した場合、安全網は存在しない。

重要な事実：

2026年4月の総損失額 6億2969万ドル 史上最大の月間損失

DeFiプロトコルの損失 具体的には6億1417万ドル

4月1日のDrift Protocolの脆弱性 2億8500万ドルをSolanaで喪失

4月18日のKelp DAOの脆弱性 2億9200万ドルから2億9300万ドルをEthereumで喪失

2つの攻撃が4月の総損失の95％を占める

2026年の総損失 7億7180万ドルのうち、4月の損失は3.7倍に拡大

2026年の累計DeFi損失 7億7180万ドル

2026年のDeFiハッキング事件は前年比68％増

攻撃後48時間でAaveのTVLは264億ドルから$18B に減少

総DeFi TVLは48時間で130億ドル減少

両方の大規模攻撃は北朝鮮のラザルスグループに関連

2026年3月の損失はわずか5950万ドルに過ぎない