仮想通貨史上最悪の4月、ハッキング29件で業界の課題感強まる

仮想通貨業界における2026年4月のハッキング被害が史上最悪規模の月であったことが報告されています。4月の仮想通貨ハック件数は29件に達し、これまでのピークであった2026年1月の16件を81%上回る水準を記録しています。

🚨JUST IN: April 2026 has become crypto’s worst month on record by number of hacks, with 29 incidents, up 81% from the previous high of 16 in January.

🥇Kelp $293M
🥈Drift $295M
🥉Rhea $18M pic.twitter.com/sx9xNHNusu

— SolanaFloor (@SolanaFloor) April 30, 2026

被害金額のランキングではKelp DAOが2億9,300万ドル、Drift Protocolが2億9,500万ドル、Rheaが1,800万ドルと上位3件で6億ドル超の損失を生み出しました。被害の集中度合いと頻度の両面で業界はかつてない厳しい局面に直面した格好です。

ハックされない週は一度もなかった

CryptoDifferが公開した情報によればハッキングしなかった週は一つもなく、攻撃対象となった分野も貸付、ブリッジ、ウォレット、永久先物、ゲームと、DeFiのほぼ全領域に広がっています。

Crypto Hack Calendar: April 2026

April 2026 had 30 calendar days. Crypto got #hacked on 22 of them. No week was clean. No vertical was safe. #Lending, #bridges, #wallets, #perps, #games — all hit. Total damage: $630M+ pic.twitter.com/2IZGjgkAX7

— CryptoDiffer Analytics (@CryptoDiffer) April 30, 2026

4月23日時点で被害総額は5億ドルを突破していましたが、月末までに6億ドル超に達しました。Scallop Lendの15万ドル、Litecoinゼロデイ脆弱性とDDoSの組み合わせ、Purrlend偽ブリッジアドレス悪用の150万ドル、Giddyの不完全署名カバー率を突いた130万ドル、Volo Vaultの350万ドル、Thetanuts Financeの「First Depositor Attack」など、小〜中規模の事件も連日発生しています。

関連：4月の仮想通貨ハッキング被害、6.2億ドル突破

連鎖の余波「Carrot」がサービス終了

ハック被害の余波は単発のプロトコルにとどまりません。Solana上のDeFiプロトコル「Carrot」は、4月1日のDrift Protocol exploitの影響を受けてサービス停止を発表しました。ユーザーは5月14日までにBoost、Turbo、CRTから資金を引き出す必要があるとされています。

1/ Carrot is shutting down

This is certainly not the outcome we wanted, but the situation with the Drift exploit, has proven to be catastrophic for our continued operations.

— Carrot (@DeFiCarrot) April 30, 2026

DeFi Carrotは公式声明で「これは我々が望んだ結果ではないが、Driftのエクスプロイトが我々の継続的な運営に対して壊滅的な影響をもたらした」と説明。仮想通貨業界において、上流プロトコルへの攻撃が下流の関連プロジェクトを連鎖的に巻き込む構造が改めて浮き彫りになっています。

業界最大級のKelp DAO・Aave連鎖事件では、Aave V3/V4 上に約1億9,600万ドル（約314億円）の不良債権が発生し、週末48時間で約1兆円規模のTVL流出という典型的な「bank run」が発生しました。スマートコントラクト自体に欠陥がなくても、LayerZeroのクロスチェーン基盤の中でアプリ開発者が自由に設定できる「検証者（DVN）」というインフラ層の脆弱性が起点となった構造が問題視されています。

関連：たった46分間でKelpDAOより410億円が流出、週末には1兆円が市場から流出したDeFi最大の事件は何が問題だったのか

業界対応 – Curve創設者がセキュリティ基準策定を呼びかけ

業界内からは抜本的な対応を求める声も上がっています。DeFi大手Curve Finance創設者のマイケル・エゴロフ氏は4月21日、X上で「DeFiが直面しているこの規模の回避可能なハック（中央集権的な単一障害点が原因のもの）は、最近とんでもない量だ」と訴え、イーサリアム財団とソラナ財団が中心となって業界横断のセキュリティ基準を策定すべきだと提案しました。

エゴロフ氏はAaveやrsETHのインシデントを具体例として挙げ、プロジェクト、監査法人、リスク管理チームがベストプラクティスを共有する仕組みの必要性を強調しています。

関連：DeFiハッキングを防げ、Curve創設者がイーサ・ソラナ財団に基準策定を要請

ブロックチェーン情報企業TRM Labsの分析によれば、2026年の仮想通貨ハック被害総額の76%は北朝鮮関連のハッカー集団によるものとされており、業界の脆弱性を狙う攻撃側は国家規模のリソースで動いています。攻撃手法の精密化とDeFiインフラの構造的脆弱性が同時に進む現状に対する業界の今後の対応に注目です。