セキュリティインシデント

The Blockによると、LayerZeroは金曜日、4月18日に発生したエクスプロイトへの対応について公開謝罪した。この事件では、Kelp DAOのクロスチェーンブリッジからrsETHが2億9,200万ドル流出した。プロトコルは、自身の分散型検証者ネットワークを高額取引の唯一の検証者として機能させてしまったことで誤りがあったと認め、従来「Kelp DAOの設定の選択肢に原因がある」としていた立場を覆した。LayerZeroは、このエクスプロイトの影響がネットワーク上のアプリケーションのおよそ0.14%、および同プロトコルを利用する総資産の0.36%に及んだと述べた。今回の件を受け、主要なプロトコルが移行を進めている。Kelp DAOとSolv Protocolはそれ以来、セキュリティ上の懸念を理由に、クロスチェーン基盤をChainlinkのCCIPへ移した。

暗号資産のセキュリティ企業CertiKは、2026年上半期の最初の4か月間に、レンチ攻撃によって暗号資産保有者が約1億100万ドルを失ったと推定しており、これは2025年の同期間と比べて検証済みのインシデントが41%増加していることを意味する。 このままのペースが続けば、2026年通年の損失は数億ドルに達する可能性がある。 レンチ攻撃（ソフトウェアのセキュリティシステムを突破するような身体的な襲撃や恐喝の試みを指すサイバーセキュリティ用語）は、CertiKによれば「暗号資産保有者にとって確立された脅威の手口（スレット・ベクター）」になっている。 同社は2026年の初めに世界で34件の事案を確認した。 2025年に報告された約70件の身体的襲撃と比較すると、ただし攻撃の性質上、未報告のものが多い可能性がある。 地域別の分布と欧州での集中 注目すべきは、34件中28件（82%）が欧州で発生しており、大きな地理的な変化を示している。 フランスが依然として震源地であり、2025年だけで24件の襲撃が記録され、「国別の内訳」では「大差をつけて」最多だとCertiKは指摘した。 これは2024年に

BlockBeatsによると、5月9日、Linuxカーネルの「Copy Fail」脆弱性がCISAのKnown Exploited Vulnerabilities（KEV）カタログに追加された。この欠陥は2017年以降の主要なLinuxディストリビューションに影響し、通常のユーザー権限を持つ攻撃者が約10行のPythonコードを使ってroot権限へ権限昇格できる。 多数の暗号資産インフラ要素がLinuxに依存している（取引所、バリデータノード、マイニングプール、カストディウォレット、クラウド取引システムなど）ため、この脆弱性は暗号業界に潜在的なリスクをもたらす。悪用された場合、攻撃者は秘密鍵を盗む、バリデータノードを侵害する、管理者アクセスを取得する、または影響を受けたサーバーにランサムウェア攻撃を仕掛ける可能性がある。

BlockBeatsによると、5月9日、Chromeは利用者の端末に対して、明確な同意なしに、ローカルの不正検知、Webページの要約、AI機能のためのマルチギガバイト級のAIモデルファイル（Gemini Nano）を自動的にダウンロードしたとのことです。 Googleは、ローカルでのAI実行がプライバシーとセキュリティを高めると述べた一方で、暗号資産ユーザーは透明性の欠如や明確な許可がないことに懸念を示しました。ブラウザが暗号資産ウォレット、オンチェーン取引、DAppsの主要な入口としてますます機能していく中で、この動きは、悪意のある拡張機能、不正に作られた取引ページ、ウォレット乗っ取りのリスクなど、攻撃対象領域の拡大に関する業界の懸念を強めています。

CertiKによると、暗号通貨の保有者を狙った「暗号レンチ攻撃」（身体的暴行と恐喝）によって、2026年上半期の最初の4か月で約101百万ドル（$101 million）の損失が発生したという。 同社は世界で34件の事案を確認しており、2025年の同期間と比べて41%増加している。 この傾向が続けば、年間の損失は数億ドルに達する可能性がある。 ヨーロッパは確認された攻撃の82%を占めており、フランスでは24件が記録された。 とりわけ、2026年の事案の半数以上が、主要な標的の家族（配偶者、子ども、または高齢の親）を含んでおり、直接の被害者である場合もあれば、恐喝の圧力手段として利用された場合もあった。

Wasabi Protocol は本日（5月9日）、「攻撃者が AWS インフラ内の Spring Boot Actuator の設定ミスを悪用し、EVM スマートコントラクトを制御する秘密鍵を盗み出した」セキュリティインシデントを開示しました。この侵害により、Ethereum、Base、Blast、Berachain の各バルとをまたいで、ユーザー資金がおよそ $4.8 million、プロトコル準備金が $900,000 盗まれ、合計で $5.7 million の損失となりました。Solana のデプロイと Prop AMM は影響を受けませんでした。プロトコルは、影響を受けたすべてのユーザーを補償することが最優先であると述べていますが、現時点では最終的な補償計画はまだ発表されていません。

CertiKによると、暗号通貨の「レンチ攻撃」により、2026年の最初の4か月間に約$101 millionの損失が発生し、世界で34件の検証済みインシデントが報告されています。これは、2025年の同期間と比べて41%の増加です。もしこの傾向が続くなら、同社は数億ドル規模の損失が発生する可能性があると見積もっています。

BusinessWorldによると、フィリピンの中央銀行は5月9日、無許可の仮想資産サービス提供者（VASPs）との取引を行わないよう一般向けに警告した。詐欺、セキュリティ侵害、そして資金の損失につながり得る業務上の不具合といったリスクを挙げた。中央銀行は、法的救済手段の欠如、消費者保護の仕組みがないこと、サービス品質の低さ、虚偽広告、秘密鍵の不適切な取り扱い、サイバーセキュリティ上のインシデント、データのプライバシーに関する問題など、追加のリスクも特定した。銀行は、無許可のVASPプラットフォームへのフィリピン人利用者のアクセスを制限するために、証券取引委員会および国家電気通信委員会と引き続き協力していくと約束した。

OpenSourceMalwareの調査によると、北朝鮮のハッキング集団ラザルスは、5月9日の開発者を狙った攻撃で、開発者向け攻撃の最終段である2段階目のローダーをGit Hooksのpre-commitスクリプト内に隠していた。このグループは、「Infectious Interview」を含むキャンペーンでこの手法を用い、暗号資産やDeFiの採用担当者になりすまして、開発者をだまして悪意のあるコードのリポジトリをクローンさせ、最終的に暗号資産と資格情報を盗むことを狙っていた。

MARISKSによれば、ギリシャの海上リスク管理会社である同社は、身元不明の人物がイラン当局を装って4月21日にホルムズ海峡の安全通過のための暗号資産の支払いを求めるメッセージを海運会社に送ったとされる。 同社はこれらのメッセージが

『聯合早報』が5月9日に報じたところによると、シンガポールの国家裁判所の裁判官ワン・チンルー氏は5月8日、被告のチャン・ロンシャン（35歳、発音からの訳）氏の案件について判決を言い渡し、有期（拘禁）6年10か月を科した。チャン・ロンシャン氏は、かつて海軍のエリート潜水部隊（Naval Diving Unit）に所属していた中尉で、有効な友人が外出している間にアパートへ侵入し、コールドウォレットのシードフレーズを撮影し、その後に友人が保有していた170万USDTを盗んだと認定された。 犯罪の流れ：ソーシャルエンジニアリングで入退室の権限を取得し、シードフレーズを撮影 『聯合早報』が引用した事案によると、2022年6月、被告は被害者（30歳、中国籍）と友人の紹介で知り合い、のちに2人で非代替性トークン（NFT）の取引プラットフォームを共同で立ち上げた。該当プラットフォームはDiGi Selection Holdings Pte Ltdに属しており、被告は最高経営責任者（CEO）で、被害者は最高執行責任者（COO）を務めていた。 2022年12月14日、被害者は170万USDTをコールドウォ

シンガポールの元海軍士官である張栄玄（35）が、The Straits Timesによれば、友人のコールドウォレットから1.7 million USDT（約SGD 2.3 million）を盗んだとして、懲役6年10か月の判決を受けた。海軍ダイビング部隊の隊長である張は、F TXの崩壊による財務上の損失が盗みに至るきっかけになったと認めた。盗んだ資金は、高級時計、ギャンブル、そして住宅ローンの返済に使ったという。

ChainCatcherによると、シンガポール海軍の元船長で35歳の張栄璿は、友人のコールドウォレットから1.7 million USDT（約2.3 million シンガポールドル）を盗んだとして、懲役6年10か月の判決を受けた。被告は海軍潜水部隊で船長の階級を有しており、暗号資産ウォレットがセキュリティ会社によって追跡されたのち、FTX取引所の破綻で大きな損失を被ったことを受けて犯行に及んだと述べ、盗難を自供した。 張は、DiGi Selection Holdings Pte Ltdが所有するUpstairs Research Pte Ltdのもとで行われた、NFT取引プラットフォームの共同運用を通じて被害者を知っていた。盗まれた資金は、高級時計の購入、ギャンブル、住宅ローンの返済に充てられた。

エストニア金融監督当局（FSA）は5月9日、BB Trade Estonia OÜ（運営するZondacryptoデジタル資産取引所）の投資家に対し警告を出し、Zondacryptoがウェブサイト上に「TeamPL」暗号資産のホワイトペーパーを掲載していないことは、EUの暗号資産市場規制枠組み（MiCA）第9条第1項の規定に違反すると指摘しました。 MiCA違反の詳細とエストニアFSA公式警告 エストニアFSAの公式警告によれば、Zondacryptoは自社ウェブサイト上で「TeamPL」暗号資産のホワイトペーパーを掲載しておらず、FSAは声明の中で次のように引用しています。「これは（MiCA）第9条第1項の規定に違反します。同項は、暗号資産のホワイトペーパーを、当該ホワイトペーパーが発行者または取引所への上場を求める者のウェブサイトに掲載されるべきこと、そしてその暗号資産が一般の人々により保有されるまで掲載を維持すべきことを定めています。」 上記の警告は、Zondacryptoの法人主体であるBB Trade Estonia OÜに対して出されたものです。 Zondacryptoの出

ロイターによると、英国のスプリンターで元世界チャンピオンのチジンドゥ・ウジャは、暗号資産（クリプト）をめぐる詐欺の疑いで逮捕され、保釈された。ウジャは、英国の国家犯罪対策庁（NCA）によって拘束された10人のうちの1人であり、そのうち7人は治安判事によって保釈を認められ、5月28日に出廷する。いずれも詐欺を実行するための共謀に関する罪で起訴されている。 警察は、容疑者らが組織犯罪グループに属しており、警察官や暗号資産企業の従業員を装って電話詐欺を行い、被害者から復旧用のリカバリーフレーズを含むセキュリティ情報を引き出して、暗号資産ウォレットから資金を盗むとされていると述べた。被害者の1人は、30万ポンド（約41万ドル）以上を失ったと報じられている。

CertiKによると、暗号資産の保有者は2026年の最初の4か月間に“ワッ速攻撃”によって約1億1010万ドルを失い、世界規模で34件の検証済みのインシデントが報告されており、2025年同期間と比べて41%の増加です。 これらの攻撃の82%はヨーロッパで発生し、フランスで

北京市海淀区人民法院によると、被告人は最近、暗号化された通信経路を通じて違法に1.7億件以上の個人情報を入手したとして、懲役7年の判決を受け、罰金9億元を科された。被告人は、市民の個人データ170 million件の記録を保存する「ソーシャルエンジニアリング用データベース」サイトを構築し、その情報を暗号資産と引き換えに販売した。さらに被告人は、暗号化プラットフォーム上にグループを設立して、プライバシー侵害に当たるコンテンツを配布していた。裁判所は、被告人を市民の個人情報を侵害した罪および情報ネットワークを違法に利用した罪で有罪とした。

金融テクノロジープラットフォームのRevolutは、5月8日に、影響を受けたいくつかの暗号資産機能に不具合が発生していることを確認しました。Revolut公式サポートアカウントがXで発表したところによると、エンジニアは根本原因の調査に積極的に取り組んでいます。これに先立ち、Revolutのアプリのチャートが一時的にビットコインを0.019916ドルまで下回って表示し、また一部のユーザーが同時にプッシュ通知を受け取り、「BTCが52週の安値を更新した」と報告されました。こうした事象は数秒で正常に戻りました。

LayerZero Labsによると、このプロトコルの内部RPC基盤は過去3週間にLazarus Groupからの攻撃を受け、アプリケーションの0.14%と総資産価値の約0.36%に影響が出た。外部のRPCプロバイダーもDDoS攻撃を受けた。これらの事件にもかかわらず、LayerZeroは引き続きサービスの安定性を維持している。

暗号セキュリティ企業CertiKによると、暗号の「レンチ攻撃（crypto wrench attacks）」の被害者は、2026年上半期の最初の4か月間に、身体的な暴行や恐喝の試みを含む形で、約1億1,100万ドルを失ったという。CertiKは、この期間に世界で34件のインシデントを確認しており、同期間と比べて41%の増加に相当する、という。