2025年のWeb3セキュリティ損失の概要
Hackenの2025年の年次セキュリティレポートによると、Web3における総損失は約39.5億ドルに達し、2024年から約11億ドルの増加が見られました。損失の半分以上は北朝鮮の脅威アクターに関連しています。
損失の原因と詐欺の手法
レポートは、損失の大部分がアクセス制御の失敗や運用セキュリティの弱点、つまり侵害されたキーや不十分なオフボーディングの実践によって引き起こされたものであり、スマートコントラクトのバグによるものではないことを示しています。
ZachXBTによると、Coinbaseのヘルプデスクの従業員を装った詐欺師が、取引所のユーザーから200万ドル以上の暗号を盗んだとされています。
ZachXBTは、Telegramグループのスクリーンショット、ソーシャルメディアの活動、盗難に関連するオンチェーンのウォレット取引を照合することで、個人を特定できたと述べました。調査者は、容疑者を「カナダの脅威アクター」として説明し、過去1年間にわたり、社会工学的手法を用いてCoinbaseの正当な代表者と話していると被害者を信じ込ませる形でCoinbaseサポートの偽装詐欺を行ったと主張しています。
社会工学的攻撃の影響
ZachXBTによると、盗まれた資金は希少なソーシャルメディアのユーザー名、ボトルサービス、ギャンブルに使われたとされています。また、彼は被疑者が被害者との電話で偽のカスタマーサポートを提供している様子を示すリークされたビデオを共有しました。
各事件の具体的な技術的詳細は共有されていませんが、詐欺は信頼できる人物を装って被害者の信頼を得て、機密情報を引き出したり、詐欺的な取引を行わせたりする古典的な社会工学的手法に依存していたと報告されています。
2025年の損失のトレンド
2025年のWeb3セキュリティ損失は急増し、推定39.5億ドルに達しました。これはHackenの最新の年次セキュリティレポートによるものです。最新の数字は2024年と比較して約11億ドルの増加であり、損失の半分以上が北朝鮮に関連する脅威アクターに起因しています。
データは、損失が大きく前倒しされ、年初の第1四半期に20億ドルを超えるピークに達し、その後第4四半期には約3.5億ドルにまで減少したことを示しています。年後半の減少は進展を示唆しているかもしれませんが、Hackenは全体的なパターンが一時的なソフトウェアバグによる急増ではなく、深刻なシステム的運用の弱点を示していると警告しています。
運用セキュリティの重要性
Hackenは、アクセス制御および関連する運用の失敗が、年間の損失の約21.2億ドル、つまり全体の約54%を占めていると推定しており、スマートコントラクトの悪用に関連する約5.12億ドルと比較されています。
Hackenの法医学チームは、アメリカ合衆国や欧州連合を含む主要な法域の規制当局が、堅牢な運用セキュリティがどのようなものであるべきかを示していることを指摘しました。これらの期待には、役割ベースのアクセス制御、包括的なログ記録、安全なオンボーディングと本人確認、ハードウェアセキュリティモジュールのような機関グレードの保管ソリューション、マルチパーティ計算、マルチシグネチャ設定、コールドストレージ、異常検知を伴う継続的な監視が含まれます。
今後の展望
Hackenは多くのWeb3企業が2025年を通じて不安全な実践で運営を続けていると述べました。共同創設者兼CEOのYevheniia Broshevanは、業界が専用の署名ハードウェアと重要な監視ツールを標準的な実践として採用することで、セキュリティの基準を引き上げる明確な機会があると述べました。
