2026年の上半期、Web3セクターはハッキング、エクスプロイト、および詐欺により13億1,000万ドル以上の損失を被りました。見かけ上の損失額は前年より低く見えるものの、その背景にあるセキュリティデータはより懸念すべき傾向を示しています。攻撃の頻度は減っているのではなく、より標的型で高価値、かつ運用面で洗練されたものになっています。
1月から6月にかけて記録されたセキュリティインシデントの総数は344件で、前年同期とほぼ変わりませんでした。損失総額は前年比46.8%減少しましたが、この比較は2025年初頭に記録的な14億5,000万ドルのBybitエクスプロイトがあったことで歪められています。この単一の事象を除くと、2026年上半期の損失は2025年の同基準と比較して約28%高く、根本的な脅威環境は改善ではなく悪化していることを示唆しています。
全損失のほぼ半分は、4月に数週間の間隔で発生した2件の攻撃に起因しており、Humanity Protocolのエクスプロイトを含む他の主要なインシデントも、Web3エコシステム全体にわたる持続的なセキュリティの脆弱性を浮き彫りにしました。
これらの事象がなければ、損失総額は7億5,000万ドル未満に抑えられていたはずであり、少数の大規模な侵害が業界全体の被害を支配し続けている実態が明らかになりました。
今年の上半期における最大の変化は、ウォレット関連攻撃のコスト増大でした。
ウォレットの侵害はわずか33件のインシデントで4億4,400万ドル以上の損失を生み出し、全ケースのごく一部しか占めていないにもかかわらず、最も高額な攻撃カテゴリとなりました。対照的に、コードの脆弱性は204件と最も多くのインシデント数を記録しましたが、集計損失額は約1億5,160万ドルと大幅に低くなりました。
これらの数値は、攻撃者がスマートコントラクトの欠陥のみに依存するのではなく、特権資格情報、運用インフラ、および鍵管理に increasingly 焦点を当てていることを示唆しています。
フィッシングもこの期間中に進化しました。フィッシングインシデント数は前年比で半分以上減少しましたが、攻撃者が大量のウォレット空売り操作ではなく、高価値の個人や組織を狙った高度に標的型化されたソーシャルエンジニアリングキャンペーンに移行したため、金銭的損失は小幅な減少にとどまりました。
Ethereumは引き続き最も多くのセキュリティインシデントを経験し、Solanaは損失額で2位となりました。これは主に、2026年上半期最大のセキュリティインシデントの一つとなったDrift Protocolのエクスプロイトによるものです。
2026年上半期の主要数値:
攻撃者はプライバシーツールとクロスチェーンインフラを通じて盗まれた資産をより迅速に移動させ、回収をますます困難にしています。同時に、最近のセキュリティレビューを受けていない古いスマートコントラクトが繰り返し標的となっており、レガシーDeFiインフラがリスクの増大源となりつつあることを示唆しています。
2026年上半期は、より安全なエコシステムを示すものではなく、脅威モデルの変化に直面している業界を示しています。そこでは、より少ない数の攻撃がより大きな損失を引き起こしており、運用セキュリティはスマートコントラクトセキュリティと同様に重要になっています。

