【2026年4月最新】仮想通貨ハッキングが止まらない？“DeFi”で広がる連鎖リスクとは

 

「また仮想通貨がハッキングされた」というニュースを、今月は何度目にしたでしょうか。

2026年4月、仮想通貨市場は過去に例のない規模の連続ハッキングに見舞われています。

4月1日のDrift Protocol（約285億円）から始まり、4月18日のKelp DAO（約292億円）まで、2週間余りで600億円を超える資産が失われました。被害を受けたプロトコルの数は12を超え、Aaveをはじめとする大手DeFiサービスにまで影響が波及しています。

今回の特徴は「1つの事件が別のサービスへ連鎖していく」点にあります。単発の不正アクセスではなく、DeFiの構造そのものが攻撃の連鎖を生んでいます。

 

この記事では以下を分かりやすく解説します。

 

• 2026年4月に何が起きたのか（時系列まとめ）
• 最大の事件・Kelp DAOハッキングの仕組み
• なぜAaveなど他サービスに影響が連鎖するのか
• DeFiに潜む構造的リスク
• 初心者が知っておくべき対処法

 

一言コメント

ここまで短期間で重なると、個別の問題ではなく「構造的なリスク」が見えてくると感じます。

利回りの高さだけに注目していると、こうした連鎖リスクは見えにくいままです。

こうしたリスクを避けるためにも、まずは国内の取引所から基本を押さえておくのが安心です。

 

⇒ あなたに最適な国内取引所を選ぶならこちら

仮想通貨ハッキングはなぜ増えているのか

DeFi（分散型金融）は、ブロックチェーン上でプログラムが自動的に動く金融サービスです。

銀行のような管理者が存在しないため透明性が高く、誰でも参加できる点が支持を集めてきました。

しかし、その「オープンな構造」こそが攻撃者にとって有利に働く側面でもあります。

ハッキングが増えている背景には、主に3つの変化があります。

 

① DeFiの複雑化・巨大化
プロトコルが増えるほど「つながり」が複雑になり、攻撃の入口（アタックサーフェス）が広がります。特にクロスチェーンブリッジ（異なるブロックチェーン間をつなぐ仕組み）は、設計が難しく脆弱性が生まれやすい領域です。今回のKelp DAO事件もブリッジへの攻撃でした。

② 攻撃者の組織化・高度化
今や個人ハッカーだけでなく、北朝鮮の国家支援グループなど組織的な攻撃者が暗号資産業界を標的にしています。DriftへのDPRK系攻撃では、6か月間にわたってチームに偽装し、カンファレンスで対面し、1億円以上を自ら入金して信頼を築いた上で攻撃を実行しました。AIを活用した社会工学的手口も報告されており、技術的なセキュリティだけでは防ぎきれない局面が増えています。

③ 「攻撃する価値のある標的」の増加
DeFiの成長に比例して、プロトコルが保有する資産規模も拡大しています。Aaveだけで事件前のTVL（預かり資産）は264億ドル（約3.9兆円）。億ドル単位の資産が自動プログラムで管理されている環境は、攻撃者にとって魅力的な標的です。

2026年4月に発生した主なハッキング一覧

2026年4月は、複数の大型ハッキングが短期間に集中しています。以下は主な事件の時系列です。

 

日付	対象	被害額（概算）	主な手口
4月1日	Drift Protocol	約285億円	北朝鮮系ハッカーによる6か月間の社会工学的攻撃
4月3日	Silo Finance	約5,900万円	未リリースのレバレッジ機能スマートコントラクトの入力検証不備（ユーザー資金への影響なし）
4月10日	Aethir	軽微（ブリッジ契約を即時停止）	ブリッジ契約への攻撃（早期検知で最小化）
4月13日	Hyperbridge	約3.7億円（$2.5M。当初$237Kから4チェーン集計で修正）	クロスチェーンメッセージの証明偽造
4月14日	CoW Swap	約1.8億円	.fiドメインへのソーシャルエンジニアリングによるDNSハイジャック（スマートコントラクトは無傷）
4月15日	Grinex（ロシア系取引所）	約20億円	ウォレット54個からUSDTを流出（詳細不明）
4月17日	Rhea Finance	約27.5億円（$18.4M。当初報告$7.6Mからポストモーテムで確定）	フェイクトークンでオラクルを操作
4月18日	Kelp DAO（＋Aaveへ波及）	約292億円（2026年最大）	LayerZeroブリッジへの偽造メッセージ攻撃

 

わずか3週間弱で12以上のプロトコルが攻撃を受け、主要2件（Drift・Kelp DAO）だけで600億円超の被害が発生しています。

セキュリティ企業Cyversは2026年Q1だけで約482億円の被害が出ていたと報告しており、4月に入ってさらに加速している状況です。

Kelp DAOハッキングとは何か

今月最大の被害をもたらしたのが、4月18日に発生したKelp DAOへの攻撃です。

わずか46分間で約292億円が盗まれた、2026年最大のDeFiハッキングです。

そもそもKelp DAOとは

Kelp DAOは、ETH（イーサリアム）を「リステーキング」と呼ばれる仕組みで運用することで利回りを得られる「リキッドリステーキングプロトコル」です。

ユーザーがETHを預けると、その見返りに「rsETH」というトークンを受け取れます。このrsETHは1rsETH≒1ETHの価値があるとされ、他のDeFiサービスの担保としても広く使われていました。

用語を整理しておきます。

 

• クロスチェーン：異なるブロックチェーン同士をつなぐ仕組み
• ブリッジ：チェーン間で資産を移動させる"橋渡し役"のプログラム
• LayerZero：複数のチェーン間でメッセージを送受信するクロスチェーン通信プロトコル

 

攻撃の手口

攻撃者はKelp DAOがLayerZeroを通じて20以上のブロックチェーンにrsETHを流通させていた仕組みを悪用しました。

LayerZeroのエンドポイントに対して「正規の送金指示」に見せかけた偽造メッセージを送信し、実際にはETHを一切預けていないにもかかわらず、約116,500枚のrsETH（約292億円相当）を不正に生成させることに成功しました。

 

のちの調査で、Kelp DAOがLayerZeroの検証を1つのバリデーターだけに依存する最も脆弱な設定（1/1 DVN）を使っており、2025年1月にはすでに開発コミュニティから改善を促す指摘があったにもかかわらず、15か月間放置されていたことが明らかになっています。

攻撃者は攻撃の10時間前からTornado Cash（取引履歴を隠す仕組み）でウォレットを準備しており、計画的な犯行であったことが示されています。

Aaveへの影響（連鎖リスク）

今回のハッキングがDeFiコミュニティに特に衝撃を与えたのは、Kelp DAOの問題が別サービスであるAaveへ連鎖したためです。

攻撃者は不正に生成したrsETH（実態のないトークン）をAaveに担保として預け、本物のWETH（ラップドETH）を借り出しました。

AaveはrsETHを正規の担保として扱ってしまったため、Aave単体で約1億9,600万ドル（約290億円）の回収困難な不良債権が発生し、複数プロトコル合計では最大2億3,600万ドル規模に達したとみられています。

 

さらに不安が広まると大口ユーザーが一斉に資産を引き出し始め、AaveのTVL（預かり資産）は264億ドルから約198億ドルへ、24時間で約66億ドル（約9,800億円）が流出しました。

ETH市場の利用率は100%に達し、預け入れていたユーザーが引き出せない状態に陥りました。

 

Aaveだけではありません。

CompoundやEuler、SparkLend、Fluid、Upshiftといった他のDeFiプロトコルもrsETH市場を凍結し、Lido Financeも関連商品への新規預け入れを停止しました。

1つのブリッジへの攻撃が、20以上のチェーン、10以上のプロトコルに波及した事例です。

 DeFiのメリットとリスクの裏側

DeFiがこれほどの規模に成長した背景には、正当なメリットがあります。

銀行より高い利回りが得られる可能性、資産を売らずに担保として運用できる自由度、国籍や口座の有無を問わず参加できるグローバルな開放性、そしてスマートコントラクトが公開されている透明性——これらはいずれも、従来の金融サービスが提供できなかった価値です。

 

しかし今回の一連の事件が示したのは、これらのメリットがそのままリスクにも転化するという現実です。

管理者がいないことは「止める人もいない」ことを意味し、誰でも参加できる仕組みは「攻撃者も参加できる」仕組みでもあります。

プロトコル同士がつながって高度な機能を実現できることは、1か所の問題が全体に波及する構造的脆弱性でもあります。

利便性とリスクは、DeFiにおいて切り離せない関係にあります。

 今回見えたリスク（最重要）

今回の一連の事件から見えてきたリスクは、大きく4つに整理できます。

特に市場が最も警戒しているのは「連鎖リスク」と「流動性リスク」の2点です。

連鎖リスク（コンポーザビリティリスク）

DeFiの最大の強みは「プロトコル同士がつながって新しい金融機能を作れること（コンポーザビリティ）」ですが、この設計が逆に弱点にもなります。

1つのプロトコルが破損すると、そこに依存している別のプロトコルにも連鎖的に影響が及びます。

今回のKelp DAO→Aave→CompoundなどDeFi全体への波及は、まさにこの連鎖リスクが現実化した事例です。

流動性リスク

流動性とは、必要なときに資産を引き出したり売買したりしやすい状態のことです。

今回のAaveのように不安が広まると引き出しが集中し、プールの資産が枯渇します。

ETH市場の利用率が100%に達した状態では、正当な預け入れユーザーも資産を動かせなくなります。

「預けているのに引き出せない」状態が現実に起きた点は、DeFiの流動性リスクを理解する上で重要な事例です。

技術リスク

スマートコントラクトのバグやブリッジの設定ミスは、攻撃の主要な入口です。

Kelp DAOの場合、脆弱な設定を15か月放置していたことが被害の直接的な要因でした。

コードが公開されているDeFiでは、悪意ある攻撃者が徹底的に弱点を探します。

人為リスク

Driftの事件が示したように、今やコードの脆弱性を突くだけでなく「人」を騙す手口も増えています。

北朝鮮系ハッカーグループは6か月間にわたって開発チームに近づき、カンファレンスで対面し、1億円以上を自ら入金して信頼を築いた上で攻撃を実行しました。

技術的なセキュリティだけでは防ぎきれない時代に入っています。

日本の投資家にとっての課題

日本では、DeFiのリスク理解が実際の仕組みに追いついていない点が課題です。

「利回りが高い」という情報だけが先行し、その高利回りがどのような仕組みから生まれているのかが見えないまま資産を預けるケースが起きやすい環境があります。

今回のような事件では、「清算」「担保率（LTV）」「クロスチェーンブリッジ」「流動性プール」「コンポーザビリティ」など、初心者には難解な概念が複数絡み合っています。

 

また、日本国内の金融庁登録取引所はDeFiとは制度面・リスク面で大きく異なります。

預けた資産が不良債権になったり、引き出せなくなったりするリスクは、国内取引所では基本的に発生しません。

「海外DeFiが危険」と一律に断定することは適切ではありませんが、「理解できない仕組みで運用されている高利回り」は、リスクの裏返しです。

 投資判断のポイント

仮想通貨投資では「どこに預けているか・何が起きているか」を自分で理解できることが最も重要な安全基準です。

以下の問いに答えられない場合は、一歩立ち止まることをおすすめします。

 

• どこに資産を預けているか：運営主体、スマートコントラクトの監査状況
• 誰が管理しているか：ガバナンス構造、開発チームの透明性
• 流動性はあるか：いざというとき引き出せる状態か、利用率はどのくらいか
• 担保・保険の仕組みはどうなっているか：問題発生時の損失負担の構造
• 外部リスク（ブリッジ・オラクル）はあるか：そのサービスが依存している外部プロトコルの安全性

 

「分からないものには触れない」という判断も、立派なリスク管理です。

理解できない仕組みでの高利回りは、リスクの裏返しであることを忘れないでください。

まずは仕組みを理解できる、国内取引所からスタートするのが現実的な選択肢の一つです。

国内で選ばれている仮想通貨取引所（タイプ別）

DeFiへの参入を考えている方も、まずは国内取引所で仮想通貨の基本を押さえるのがおすすめです。

 

▶ 少額から試したい・仮想通貨が初めての方

• bitFlyer：1円から取引・積立が可能

▶ 手数料を抑えたい人

• SBI VCトレード：入出金・送金手数料が原則無料。ETHステーキングサービスにも対応

▶ アルトコインを幅広く触りたい人

• bitbank：取引所形式でアルトコイン売買が可能
• OKJ：話題のアルトコイン対応が多い

 

⇒ 30秒診断であなたにぴったりの取引所を見つける

【詳細比較】国内主要仮想通貨取引所5社

SBI VCトレード

大手金融グループ運営｜コスト重視派に人気

⇒SBI VCトレード公式サイトで詳細を見る

Coincheck（コインチェック）

初心者に人気のアプリ重視型取引所

⇒Coincheck公式サイトで詳細を見る

bitbank（ビットバンク）

アルトコイン取引に強い本格派

⇒bitbank公式サイトで詳細を見る

OKJ

取扱銘柄数が多く、新興銘柄にも対応

⇒OKJ公式サイトで詳細を見る

bitFlyer（ビットフライヤー）

ビットコイン取引量で知られる老舗取引所

⇒bitFlyer公式サイトで詳細を見る

5社比較まとめ表

⇒5社の詳細をもう1度確認する

あなたに最適な取引所は？

30秒診断であなたにぴったりの取引所を見つける

 

よくある質問

なぜ最近ハッキングが増えているの？

主に3つの理由が挙げられます。第一に、クロスチェーン（異なるブロックチェーン間の接続）やDeFiの構造が複雑になったことで、攻撃の入口が増えています。第二に、北朝鮮系ハッカーをはじめとする組織的な攻撃者がAIを活用するなど手口を高度化させています。第三に、DeFiの規模が拡大したことで「攻撃する価値のある標的」が増えた点も背景にあります。

DeFiは危険なの？

高い自由度と利回りが魅力である一方、その分リスクも高い仕組みです。コードのバグ、ブリッジの脆弱性、連鎖リスク、流動性リスクなど、銀行にはない種類のリスクが複数存在します。「高リターン＝高リスク」という原則はDeFiにも当てはまります。仕組みを理解した上で判断することが前提となります。

初心者はDeFiを使うべき？

仕組みを十分に理解していない段階では、まず国内取引所から始めるのが無難です。国内取引所は金融庁の監督下にあり、制度的な保護があります。DeFiへの参入は、仮想通貨の基本を学んだ後で、リスクを理解した上で検討するのが現実的な順序です。

まとめ

2026年4月の仮想通貨ハッキングが私たちに示したのは、「単発の不正アクセス」ではなく、DeFiの構造に組み込まれた連鎖リスクの現実です。

Drift（北朝鮮系の6か月計画）からKelp DAO（ブリッジ設定の脆弱性）へ、そしてAaveや10以上のプロトコルへ。攻撃の手口は異なっても、「つながっているDeFi」の特性が被害を広げる構図は共通しています。

投資判断の軸は「利回りの高さ」ではなく、「その仕組みを理解して、問題が起きたときに自分が対応できるか」にあります。分からないものに触れないという選択も、立派なリスク管理です。

DeFiが気になる方も、まずは国内取引所から基本を押さえるのがおすすめです。比較や診断から、自分に合った取引所を探してみてください。

 

⇒ 30秒診断であなたに合った国内取引所を見つける

出典・参考

• The Defiant：Kelp DAO Loses $293M in Bridge Exploit（2026年4月）
• TRM Labs：North Korean Hackers Attack Drift Protocol in $285M Heist（2026年4月）
• Chainalysis：Lessons from the Drift Hack（2026年4月）
• TheStreet：Major DeFi hack becomes the largest of 2026 yet（2026年4月）
• CoinTelegraph：DeFi Hacks Surge After $280M Drift Protocol Exploit（2026年4月）
• CoinDesk：Aave records $6 billion TVL drop（2026年4月）
• 金融庁