クロスチェーンブリッジは、ブロックチェーン間の相互運用性を実現する存在として誕生した。2026年、ブリッジはハッカーにとって最も収益性の高い標的へと変貌した。PeckShieldが2026年6月1日に公表した警告によると、クロスチェーンプロトコルを狙った14件のエクスプロイトで、合計3億4,070万ドルが流出した。これは孤立した事故ではない。繰り返されるパターンだ。
業界には楽観的な見方が広まっている。ブリッジ技術はまだ黎明期にあり、より質の高い監査と時間の積み重ねで脆弱性は解消されるという考え方だ。だが数字が示す現実は、より不快な真実を物語っている。問題はコードの成熟度ではなく、コードが価値を集中させる構造そのものにある。
主流の見方: 時間が解決するという論理
楽観論者の主張は、一見もっともらしく聞こえる。ブリッジは異なるチェーン間でメッセージを処理する複雑なソフトウェアであり、あらゆる新技術は安定化する前に脆弱期を経るというものだ。監査、バグバウンティ、継続的な監視によってリスクは制御できるという論理は、中央集権型取引所が最悪期を乗り越えて安定化した軌跡と重なる。
ただし、この論理には弱点がある。欠陥が偶発的なものであり、バグを一つずつ修正することで対処できると前提しているからだ。2026年のデータは、むしろ構造的な欠陥を示唆している。
反論: 楽観論を崩すデータ
実は、2026年5月には60件のセキュリティインシデントが発生した。これは年間で最も多い月間件数であり、PeckShieldの集計によると総損失額は約6,830万ドルに上った。コードの脆弱性が損失全体の66%を占め、ブリッジのエクスプロイトは単一インシデント種別として最大の被害をもたらした。資金回収率はわずか13.7%に留まった。盗まれた10ドルのうち約9ドルは戻ってこない。
象徴的な事例はKelpDAOだ。PeckShieldはX(旧Twitter)で2026年のクロスチェーンエクスプロイトの全容を詳細に記録しており、集計分析は明確だ。ブリッジが被害額ランキングの上位を独占している。
クリプトブリッジはなぜ繰り返し狙われるのか
むしろブリッジは数十のチェーンにまたがる担保を一点に集中させる。メッセージ検証に一つでも欠陥があれば、その全額が流出する可能性がある。これが個別コントラクトのバグではなく、設計上の欠陥だ。2026年4月18日、攻撃者はLayerZero上に構築されたKelpDAOのブリッジから約116,500 rsETH(約2億9,200万ドル相当)を流出させた。Chainalysisの調査によると、LayerZeroはデフォルトでRPCクォーラムを1-of-1に設定しており、単一ノードが侵害されるだけで不正なクロスチェーンメッセージの承認が可能だった。問題のrsETHは、Base、Arbitrum、Linea、Scrollなど20以上のチェーンでトークンを担保していた。一つの欠陥が20のエコシステムを危険にさらした。
攻撃パターンは規模こそ異なるが、構造は同一だ。攻撃者はトークンをミントし、ダンプし、別のチェーンにブリッジし、資金を洗浄する。最近の事例では、1,285.5 ETHがミキサーを経由して移動され、痕跡が隠滅された。ミント、ダンプ、ブリッジ、マネーロンダリング。この流出パイプラインはすでに産業化の段階に入っている。
これに絡む問題として、SpazioCryptoがすでに取り上げたテーマがある。防御者が脆弱性を塞ぐ速度を上回るペースで脆弱性を発見するAIエージェントの台頭だ。この議論については専用の分析記事を参照してほしい。
まとめ: 構造を変えなければ標的は変わらない
二つの観点を統合すると、主流の楽観論よりはるかに不都合な結論に行き着く。ブリッジがマルチチェーン担保の単一保管場所であり続ける限り、リスクの構造は攻撃者に有利に働く。攻撃者は一点を見つければよい。防御者はすべての点を守らなければならない。最小クォーラム検証、コスト最適化による管理の省略、迅速なリリースへのプレッシャー、あらゆる近道が侵入口となる。オンチェーンで価値を管理する企業は、2026年の3億4,070万ドルという数字を、単なる不運の積み重ねとしてではなく、最も高コストな問題をいまだ解決できていないアーキテクチャが支払う構造的コストとして受け止めるべきだ。
クロスチェーン検証の技術的側面を深く掘り下げたい方は、デジタルインフラセキュリティに関する欧州ガイドラインをENISAで、攻撃者のオンチェーン資金移動の追跡はEtherscanで確認できる。日本国内の投資家は、金融庁(FSA)および日本暗号資産取引業協会(JVCEA)が公表するセキュリティ勧告も合わせて参照することを推奨する。
