2026年仮想通貨ハッキング被害、4ヶ月間で既に10億ドル超へ

仮想通貨業界のハッキング被害が2026年に入って急速に拡大しています。2026年に入って既に少なくとも68件のインシデントで合計10億8,000万ドルが盗まれたと報じました。

被害の集中は3つの大型事案に偏っており、KelpDAO・Aave連鎖事案、複数のクロスチェーンブリッジを狙った攻撃、そしてDeFiレンディングプロトコルのロジック上の欠陥を突いた事案です。

KelpDAO・Aave連鎖、46分で467億円の異例事案

2026年4月の被害を象徴するのが、4月19日に発生したKelpDAO・Aaveを巻き込んだ連鎖事案です。4月19日2時35分、リキッドリステーキングプロトコルKelpDAOのクロスチェーンブリッジが攻撃され、116,500 rsETH（約2億9,200万ドル）が単一の取引で流出しました。

これはKelpDAO循環供給量の約18%に相当する2026年最大規模のDeFi exploit です。

攻撃者は盗んだrsETHをDeFi最大のレンディングプロトコルAave V3/V4に担保として預け入れ、WETHを借り出すという二段構えの戦術を採用。Aaveには約1億9,600万ドルの不良債権が発生し、週末48時間で約1兆円規模のTVL流出という典型的な「bank run（取り付け騒ぎ）」が連鎖しました。

関連記事：たった46分間でKelpDAOより410億円が流出、週末には1兆円が市場から流出したDeFi最大の事件は何が問題だったのか

事案の本質はAaveのスマートコントラクト自体に欠陥がなかった点にあります。LayerZeroのクロスチェーン基盤の中でアプリ開発者が自由に設定できる「検証者（DVN）」というユーザーには見えないインフラ層の脆弱性が起点となりました。

「モジュラー・セキュリティの自由」が内包する構造的な脆弱性が改めて浮き彫りになった事案です。

「DeFiは伝統金融の86倍危険」、AIツールが攻撃を高度化

業界全体で見ると、2021年以降にDeFiから盗まれた累計資産はおよそ70億ドルに達しているとの推計があります。2025年単年のDeFi損失は約28億ドル。一見すると伝統的金融（TradFi）におけるデータ侵害コストの総計と同規模ですが、取引量で割り戻すと話は大きく変わります。

DeFiの年間取引量を最大46兆ドルと仮定してTradFiと比較した場合、損失率の差は実に86倍（8,500%）に達するとされます。さらに、近年はAIツールの活用で攻撃手法が一層高度化しており、単純なスマートコントラクト監査だけでは防ぎきれない領域が拡大しています。

関連記事：DeFiのハッキング損失率は伝統的金融の86倍？安全性と信頼性に疑問

ただしDeFiには伝統金融にない透明性があります。TradFiでは侵害の特定に平均168日、封じ込めにさらに51日かかるとされる一方、DeFiでは損失がブロックに刻まれた瞬間から誰もが確認できます。4月のAaveインシデントでも、ガバナンスフォーラムでの議論がリアルタイムで公開され、緊急の資産凍結措置が即座に実行されました。

「信頼の排除」を約束したDeFiが、実際には「信頼の移転」に過ぎなかったのかという問いが業界で広がるなか、2026年残り8ヶ月の被害がどこまで膨らむかが焦点です。10億ドルの被害は氷山の一角に過ぎず、構造的なセキュリティ刷新が業界の存続条件となりつつあります。