DeFi連続ハック5日間：THORChain・Verus・Echo計2300万ドル

5日間で3件のエクスプロイト。合計2300万ドルが流出した。THORChainが5月15日、Verus Bridgeが18日、Echo Protocolが19日。5月はまだ終わっていない。

出所: TRM Labs, Chainalysis, ZachXBT, PeckShield · 2026年5月15〜16日

2026年5月15日09:45 UTC、ZachXBTがTelegramにアラートを投稿した。主要クロスチェーン分散型取引所THORChainのAsgard Vaultから異常な資金移動が検出されたという内容だった。初期推計は740万ドル。2時間後には被害額は1080万ドルに拡大しており、Bitcoin、Ethereum、BNB Chain、Baseの4チェーンが同時に標的とされていた。ネイティブトークンのRUNEは0.58ドルから約0.50ドルへ、数分間で15%下落した。自動一時停止メカニズムが機能し、被害は6つあるアクティブなAsgard Vaultのうち1つに抑えられた。ユーザー資金は保護されている。

攻撃手法は精巧だった。あるバリデーターが数日間にわたって正直に稼働しながら、GG20 TSSプロトコルの通常の署名セレモニー中に暗号素材のフラグメントを蓄積していった。十分なフラグメントを収集した時点で、Asgard Vaultの完全な秘密鍵を再構築し、ネットワーク全体のコンセンサスで承認されたかのように送金を署名した。悪意あるノード（thor16ucjv3v695mq283me7esh0wdhajjalengcn84qとして識別）は、攻撃の数日前にアクティブセットに参加していた。計画的な手口だ。

Chainalysisは数週間にわたる準備を追跡した。Monero、Hyperliquid、Arbitrumでの操作が行われ、ドレインの正確に43分前に攻撃ウォレットへ8 ETHが送金されていた。Kelp DAOが4月に2億9200万ドルを流出させた事件と同じ署名が見られる。あのときも数ヶ月にわたる類似の準備期間があった。皮肉なことに、THORChainはそのKelp DAO事件でラザルス・グループ（Lazarus Group）が盗んだ約1億7500万ドル相当のETHを36時間で移動させた際の資金洗浄ルートとして利用されていた。Kelp後のAave危機が収束したのは5月18日、今週の第2の攻撃と同じ日だった。

出所: Blockaid, PeckShield · 2026年5月18日

THORChainから3日後。停止措置はなかった。BlockaidがVerus-Ethereum Bridgeのエクスプロイトをリアルタイムで検知したとき、攻撃者はすでに103.6 tBTC、1,625 ETH、147,000 USDCを流出させており、すべてを5,402.4 ETHに変換していた。送金先ウォレット0x65Cb8b128Bf6e690761044CCECA422bb239C25F9は5月19日時点でアクティブだった。14時間前のTornado Cashによるプリファンドは一つのことを示している。事前に周到に計画された操作であり、機会主義的なものではない。4月のDrift Protocol事件でも同様のパターンが記録されており、攻撃ウォレットは同じツールを使って数週間前から準備されていた。Verusの具体的な技術的ベクターはまだ分析中だ。

出所: PeckShield, dcfgod, Blockaid, Keone Hon (@keoneHD on X) · 2026年5月18〜19日

5月18日夜、オンチェーンアナリストのdcfgodがXにポストした。MonadネットワークのEcho Protocolで、誰かが1,000 eBTCを無から発行したというものだった。額面価値は7670万ドル。実際の被害額は81万6000ドル。この2つの数字の差がすべてを物語っている。攻撃者は無制限の発行権限を持つ管理者秘密鍵を手に入れており、マルチシグ保護もタイムロックも存在しなかった。45 eBTCをCurvanceで担保として利用し、11.29 WBTCを借り入れ、資金をEthereumに移してから384 ETHをTornado Cashへ送金した。すべて数時間以内のことだった。残る955 eBTCは攻撃者のウォレットで使用不能のまま放置された。Monadネットワーク上に換金できるだけの流動性がなかったためだ。Echoはこれらをバーンした。Monad共同創業者のKeone Honは2026年5月19日のXへの投稿で、ネットワーク自体は侵害されていないと確認した。

SlowMist創業者のYu Xianは問題の核心を突いた。絶対的な発行権限を持つ単一の管理ポイントは、孤立したエラーではなく設計上の脆弱性だ。このパターンはクロスチェーンブリッジにおける数十件の過去のエクスプロイトと同一だ。類似したアーキテクチャがAI×クリプト領域でも脆弱性を生み出している仕組みについては、LLMルーターと暗号資産ウォレットのセキュリティに関する分析で同じパターンが別のベクターから解説されている。

出所: TRM Labs, Blockaid, PeckShield, Keone Hon, DefiLlama · 2026年5月15〜19日

DeFiブリッジからどのように暗号資産が盗まれるのか

実は、今週の3件の攻撃は技術的ベクターこそ異なるが。共通した構造を持つ。ブリッジが侵入口になるのは。必ずしも最も脆弱なコンポーネントだからではない。異なるチェーン間を流通する資産が最も集中するポイントであり。コアプロトコルが備えるような冗長性を持ちにくいからだ。

THORChainの場合。攻撃者はGG20 TSSの暗号的な欠陥を突いた。鍵を盗んだのではなく。正規のネットワーク運用中に少しずつ再構築した。鍵が組み立てられると。本物のバリデーターとして送金に署名できた。オンチェーンの動きが明らかになるまで。アラートは発動しなかった。

Verus Bridgeについては、ベクターはまだ分析中だが、14時間前のTornado Cashによるプリファンドは、機会主義的ではなく周到に計画された攻撃を示している。Echo Protocolの場合、欠陥は暗号的なものではなかった。保護のない管理者秘密鍵、無制限の発行権限。それがプロトコルとアクセス権を持つ誰かとの間に立つ唯一の防壁だった。

被害拡大のメカニズムは毎回同じパターンをたどる。ブリッジが発行した合成トークンやラップドトークンが、隣接するレンディングプロトコルで担保として受け入れられる。無から価値を作り出し、実資産を借り入れ、システムが反応する前に出口を取る。4月のKelp DAOブリッジが2億9200万ドルを失った事件でも同じ手口が使われた。それ以前にはDrift Protocolが2億8500万ドルを失った。DeFiのコンポーザビリティは最大の強みだ。こうしたシナリオでは、最も効率的な破壊のレバーにもなる。このような状況での自己防衛策を理解するには、SpazioCryptoのWeb3ガイドが主要な運用リスクを網羅している。

DefiLlamaのデータによれば、2026年5月は19日の時点ですでにDeFiプロトコルで14件のセキュリティインシデントが発生している。4月の総被害額は6億5100万ドルで、KelpとDriftの2件だけで被害全体の91%を占めていた。現在、注目すべき点が2つある。第1は、THORChainエクスプロイトの帰属。TRM Labsはまだいかなる攻撃者も特定していない。

ラザルス・グループの関与が確認された場合、KelpやDriftですでに証明されているように、北朝鮮の2026年の被害総額は残り4ヶ月を残してすでに過去最高を更新することになる。第2は、5月22〜23日に予定されているTHORChainコミュニティの対応策についての投票だ。侵害されたノードのボンドのスラッシング、プロトコル保有流動性による補填などが議題に上がっている。RUNEはすでに数時間で15%を失っていた。

今後数日間でTHORChainのコミュニティが下す決定は。DeFiが外部からの規制を待たずに自律的にルールを設ける能力を持つかどうかを示す具体的な証明になる。金融庁（FSA）が分散型プロトコルのセキュリティ基準に関する議論を注視する中、日本の投資家にとってもこの判断は他人事ではない。5月のエクスプロイトに関するすべての最新情報はSpazioCryptoのハックセクションにまとめている。