暗号資産(仮想通貨)セキュリティプラットフォームImmunefiは、2020〜2025年のDeFi(分散型金融)エコシステムにおける損失を分析したレポート「エコシステム脆弱性スコアボード」を公表した。
DeFi攻撃による損失額は、2022年の26億2,000万ドル(約4,190億円)から2025年には6億8,030万ドル(約1,090億円)へと74%減少している。一方で、新たなリスクの出現も指摘されている。
特に、フラッシュローン攻撃やリエントランシー攻撃などは、2022年時点ではDeFi攻撃における損失全体の約19%を占めていたが、2025年には1%未満へと激減した。
減少の背景としてImmunefiは、フラッシュローン・オラクルの設計や、リエントランシー攻撃への防御などが強化され機能していることを挙げた。
「フラッシュローン」とは、DeFi特有の機能で、対象資産のトークンについて借り入れと返済の処理を同一のトランザクション内で完了するもの。2020年から2022年頃はこれを悪用した手口が多かった。
クロスチェーンブリッジ関連のハッキングなども、2022年の73%から2025年には3%へと大幅に減少している。Immunefiは、2022年に問題となっていた特定のブリッジ構造は、現在ほぼ廃止または強化されていると指摘した。
レポートによると、現在のDeFiにおける損失の大部分(2025年で89%)を占めているのは、個別のアプリケーション固有の「プロトコル・ロジック」を悪用するものへと移行している。汎用的な攻撃パターンが通用しなくなり、攻撃者は固有の脆弱性を狙う難易度の高い方法を取るようになっている格好だ。
Immunefiのミッチェル・アマドールCEOは、調査した数字からは業界が学習していることが読み取れるとコメントしている。
2022年にDeFi攻撃における損失全体の28.7%を占めていた秘密鍵の漏洩は、2025年には8.1%まで減少した。DeFiプロトコルの運営チームにおいて、秘密鍵の管理手法が強化されたことが要因だ。
一方で、ターゲットはDeFiから中央集権型取引所(CEX)へと移っている。例えば、2025年にはBybitがマルチシグ・フィッシング攻撃を受け、大規模な損失が発生している。Immunefiは、業界全体で見ればリスクは解消されたのではなく、大規模なターゲットに集約されたと分析した。
また、DeFi攻撃では、あるDeFiプロトコルが複数のチェーンで同じコードを使用している場合のマルチチェーン・リスクや、異なるチェーン間で資産や情報を移動させるためのメッセージング・レイヤーが狙われるリスクが新たに台頭しているとも指摘する。
メッセージング・レイヤーが狙われた最近の事例については、Kelp DAOへのハッキングを例に挙げた。
