Web3の混乱が深刻に：2026年のわずか2週間で数百万が流出 – 報告

Extropyは2026年1月の主要な暗号ハッキング事件を報告。Truebitは2600万ドルを失い、Ledgerのデータ漏洩でユーザー情報が露出、フィッシング攻撃が急増。

2026年の最初の2週間は、Web3プラットフォーム全体でセキュリティインシデントの波が押し寄せました。

Extropyはこれらの出来事を記録したSecurity Bytesレポートを公開しました。調査結果は、現在の脅威の状況を憂慮すべきものとして描いています。

レポートによると、攻撃者はホリデーシーズン中も攻撃を継続しました。被害は数百万ドルのエクスプロイトから高度なフィッシングキャンペーンまで多岐にわたります。

Truebit Protocolは$26 百万ドルをレガシーコードの脆弱性で失う

今年最初の大きな事件は、1月8日にTruebit Protocolで発生しました。攻撃者は「ゾンビコード」と呼ばれるエクスプロイトで約$26 百万ドルを流出させました。

この脆弱性は、レガシースマートコントラクトの整数オーバーフローに起因します。これらの古いコントラクトは、最新のSolidityのネイティブオーバーフロープロテクションを備えていませんでした。攻撃者はほぼコストゼロで何百万ものTRUトークンを発行しました。

作成後、そのトークンはプロトコルに流入し続けました。数時間以内にすべての流動性が消失し、TRUトークンの価格はわずか24時間でほぼ100%崩壊しました。

Extropyは、攻撃者が直ちにTornado Cashを通じて8,535 ETHを移動させたことを指摘しています。セキュリティ企業は後にこのウォレットを、以前のSparkle Protocolのエクスプロイトと関連付けました。これは、放置されたコントラクトを狙うリピート犯の可能性を示唆しています。

レポートは、レガシーコントラクトが依然として重大な脆弱性であると警告しています。プロジェクトは古いコードを積極的に監視または廃止すべきです。

TMXTribeは36時間で$1.4Mの資金流出を監視

1月5日から7日にかけて、TMXTribeは遅いながらも同様に壊滅的な攻撃を受けました。Arbitrum上のGMXフォークは36時間連続で1.4百万ドルを失いました。

Extropyはこのエクスプロイトを機械的に単純と表現しています。ループでLPトークンを発行し、それをステーブルコインにスワップし、繰り返しアンステークしたのです。未検証のコントラクトは、正確な脆弱性の分析を妨げました。

最も気になるのは、攻撃中もチームの対応でした。レポートによると、開発者は攻撃中もオンチェーン上で活動を続け、新しいコントラクトを展開し、アップグレードを実行していました。

しかし、緊急停止機能をトリガーすることはありませんでした。代わりに、攻撃者に対してオンチェーンの報奨金メッセージを送っただけです。盗人は無視し、資金をEthereumにブリッジし、Tornado Cashを通じて洗浄しました。

Extropyは、これが過失なのか、それとももっと悪いことなのか疑問を投げかけています。レポートは、未検証のコントラクトがユーザーにとっての赤旗であることを強調しています。

1月の最初の日々に、私たちはすでにWeb3の失敗モードの全スペクトルを目撃しています：ゾンビコントラクトによるマネープリンティング、ガバナンスの内戦化、スローモーションで血を流す未検証フォーク、サプライチェーンの漏洩による物理的リスク、武器化されたフィッシング… https://t.co/ev1flKir3D

— Extropy.io (@Extropy) 2026年1月13日

Ledgerの顧客は物理的セキュリティリスクに直面

1月5日、Ledgerは顧客基盤に影響を与えるデータ漏洩を確認しました。この漏洩はLedgerのハードウェアではなく、決済処理業者Global-eから発生しました。

顧客の名前、配送先住所、連絡先情報が漏洩しました。Extropyはこれを、「レンチ攻撃」と呼ばれるシナリオを引き起こすと警告しています。攻撃者は暗号ハードウェアウォレットの所有者リストとその所在地を入手しています。

レポートは、皮肉な点を指摘しています。Ledgerは以前、セキュリティ機能に対して料金を請求して批判されていました。今や、その決済処理業者がユーザーを物理的な危険にさらしています。

Extropyは、ユーザーに対して高度なフィッシング攻撃を警戒するよう助言しています。盗まれたデータにより、攻撃者は個別の通信を通じて偽の信頼を築くことが可能です。

関連読書： Ledgerハードウェアウォレットに関するセキュリティインシデントのまとめ

MetaMaskのフィッシングキャンペーンが107,000ドルを流出

セキュリティ研究者のZachXBTは、MetaMaskユーザーを狙った高度なフィッシング作戦を指摘しました。このキャンペーンでは、数百のウォレットから107,000ドル以上が流出しています。

被害者には、2026年の必須アップグレードを告げるプロフェッショナルなメールが送られました。メッセージは正規のマーケティングテンプレートを使用し、修正されたMetaMaskのロゴを特徴としています。Extropyは、この「パーティーハット」デザインのフォックスを、意外にも祝祭的と表現しています。

この詐欺は、シードフレーズの要求を避けました。代わりに、ユーザーにコントラクト承認の署名を促しました。これにより、攻撃者は被害者のウォレットから無制限にトークンを移動できるようになったのです。

個別の盗難額を2,000ドル未満に抑えることで、大きな警告を回避しました。Extropyは、署名も漏洩した鍵と同じくらい危険であることを強調しています。