1. エグゼクティブサマリー
Solana は、高いスループットと低い取引コストを特徴とする高性能なブロックチェーンプラットフォームとして急速に成長し、分散型金融(DeFi)、非代替性トークン(NFT)、その他の Web3 アプリケーションの活気あるエコシステムを育成してきました。その急速な成長と採用に伴い、セキュリティはエコシステムの持続可能性と信頼性にとって最も重要な懸念事項となっています。このレポートでは、2019 年から 2025 年 4 月までの Solana エコシステムにおけるセキュリティインシデントの包括的な分析を提供します。主要な調査結果には、インシデントの種類と数の経年的な変動、攻撃の頻度と経済的損失の傾向、主要なセキュリティ侵害の詳細な技術分析、エコシステムのさまざまなセクターにわたる一般的なエクスプロイトパターン、技術的な脆弱性とそれに関連する攻撃、既知の脅威アクターとその手法の特定、インシデント対応プロセスの分析、Solana プロジェクトにおけるセキュリティ強化策の進化、ネットワークレベルのセキュリティに関する調査が含まれます。このレポートでは、主要なインシデント(Wormhole、Mango Markets、Slope ウォレットなど)を詳細に分析し、セキュリティ対策の進化とエコシステム全体のセキュリティ態勢について概説します。最後に、結論として、Solana エコシステムのセキュリティ態勢をさらに強化するための推奨事項を示します。
本レポート記事は AI を活用して作成されています。
Grok の Deep Search 機能で有用な情報ソースを選定したのち、Claude で作成した最適なリサーチプロンプトで、Gemini の DeepResearch 機能を実行し、調査結果を修正しています。
2. 主要なセキュリティインシデントのタイムライン(2019 年~ 2025 年 4 月)
2.1 全体的な傾向
Solana エコシステムにおけるセキュリティインシデントの分析によると、インシデントの数とそれに関連する経済的損失の両方に変動が見られます。エコシステムが成熟し、価値が高まるにつれて、悪意のあるアクターからの注目も高まり、セキュリティ侵害の試みが増加する可能性があります。ただし、セキュリティ対策の進歩とコミュニティの警戒心も、これらの試みの成功率と影響を軽減するのに役立っています。最も頻繁に発生するインシデントの種類には、スマートコントラクトの脆弱性の悪用、クロスチェーンブリッジへの攻撃、ユーザーウォレットの侵害、およびソフトウェアサプライチェーン攻撃が含まれます。経済的損失の傾向は、個々のインシデントの規模によって大きく左右され、大規模なブリッジハックや DeFi プロトコルの悪用は、総損失額に大きな影響を与える可能性があります。例えば、2022 年には Wormhole ブリッジのハックにより、Solana ブロックチェーンは約 5 億 2300 万ドルの損失を被りました。
2.2 四半期ごとの内訳
2025 年第 1 四半期には、仮想通貨ハッキングによる損失が 16 億 3000 万ドルに達し、前年同期の 7 億 6000 万ドルから 131%増加しました。この大幅な増加の主な要因は、Bybit に対する 14 億 6000 万ドルの攻撃であり、この攻撃だけで総損失の 92%を占めています。 2025 年 1 月には 8700 万ドル以上がハッキングにより失われましたが、2 月には Bybit の攻撃により損失額が 15 億 3000 万ドルに急増しました。対照的に、3 月のハッキングによる損失額は大幅に減少し、わずか 3300 万ドルでした。2025 年 4 月には、Solana ベースの DeFi プロトコルである Loopscale が約 580 万ドルのエクスプロイトを受けました。
2.3 年間の内訳
2024 年には、ハッキングや詐欺により 30 億ドル以上が仮想通貨関連の活動から盗まれ、前年から大幅に増加しました。PeckShield の 2024 年の報告書によると、2023 年と比較して約 4 億ドル多く盗まれ、約 15%の増加となっています。2024 年の総額には、仮想通貨ハッキングによる 21 億 5000 万ドルと詐欺による 8 億 3450 万ドルが含まれます。それにもかかわらず、PeckShield のデータによると、ハッキングや詐欺の全体的な件数は 2022 年から減少しており、2024 年末には減少傾向が見られました。2022 年は Solana にとって特に被害の大きい年であり、11 件の重大な攻撃が発生し、約 5 億 2300 万ドルの損失が発生しました。これには、3 億 2600 万ドルの損失をもたらした Wormhole ブリッジのハックが含まれます。2021 年には、Poly Network に対する 6 億 1100 万ドルのハックなど、他の大規模な仮想通貨ハックが発生しました。
2.4 主要なインシデントの表
発生日 | 影響を受けたプロジェクト/エリア | インシデントの種類 | 推定損失額(USD) | 簡単な説明 |
---|---|---|---|---|
2022 年 2 月 | Wormhole ブリッジ | ブリッジハック | 3 億 2600 万ドル | 署名検証の脆弱性を悪用 |
2022 年 10 月 | Mango Markets | DeFi エクスプロイト | 1 億 1600 万ドル | 価格オラクルの操作 |
2022 年 8 月 | Slope ウォレット | ウォレットハック | 410 万ドル~ 800 万ドル | 秘密鍵の漏洩 |
2024 年 12 月 | @solana/web3.js | サプライチェーン攻撃 | 約 13 万ドル | 悪意のあるコードが npm パッケージに注入 |
2025 年 4 月 | Loopscale | DeFi エクスプロイト | 約 580 万ドル | RateX PT トークンの価格操作 |
3. 主要なセキュリティインシデントの詳細な分析
3.1 Wormhole ブリッジのハック(2022 年 2 月)
Wormhole は、Ethereum と Solana などのさまざまなブロックチェーン間でトークン化された資産の交換を促進するブロックチェーンブリッジであり、2022 年 2 月に、当時 2 番目に高額な DeFi ハックの被害に遭いました。攻撃者は、署名検証のバイパスを可能にする廃止予定の安全でない関数を悪用し、3 億 2600 万ドル相当の 12 万 wETH を盗みました。攻撃の技術的な分析によると、攻撃者は post_vaa を呼び出すことでバリデーターアクション承認(VAA)を作成しました。この VAA は、攻撃で抽出された 12 万 ETH をミントするために complete_wrapped の呼び出しで使用されました。脆弱性は、VAA 作成プロセスにおける適切な署名検証の失敗にありました。Wormhole コントラクトは、verify_signatures の前に Secp256k1 が呼び出されるようにするために、load_instruction_at と呼ばれる廃止予定のコマンドを使用していましたが、このコマンドはシステムアドレスである Instructions sysvar の値をチェックしませんでした。攻撃者は、Secp256k1 コントラクトを呼び出した以前に作成されたアカウントである偽の Instructions sysvar を作成し、Instructions sysvar の代わりにこのアカウントを渡しました。Secp256k1 が以前に呼び出されたというチェックは(完全に異なるコンテキストであったにもかかわらず)合格し、署名は適切に検証されたと見なされました。これにより、有効な VAA を作成するために必要な有効な SignatureSet が作成され、それが盗まれた ETH をミントするために使用されました。このインシデントへの対応として、Wormhole チームは盗まれた資金の返還に対して 1000 万ドルの報奨金を攻撃者に提供しようとしました。さらに、Wormhole の親会社であり Solana エコシステムの主要プレーヤーである Jump Trading は、盗まれた資金を補充するために ETH を提供しました。
3.2 Mango Markets のエクスプロイト(2022 年 10 月)
Mango Markets は Solana ブロックチェーン上に構築された分散型取引所(DEX)であり、2022 年 10 月に価格オラクルの操作により 1 億 1600 万ドル相当の仮想通貨資産が流出するエクスプロイトの被害に遭いました。攻撃者は、Mango(MNGO)トークンの価格オラクルを操作し、プラットフォームのクロス取引機能を利用して、現在「価値のある」MNGO トークンを利用して、他の仮想通貨資産(ステーブルコイン、USDC、USD、SOL など)を引き出すことに成功しました。攻撃の流れは、まず 2 つのウォレットにそれぞれ 500 万 USDC が資金提供されたことから始まりました。次に、1 つのウォレットが 3.8 セントで 4 億 8300 万 MNGO 永久先物の売り注文を出し、もう 1 つのウォレットが 3.82 セントでそのすべてを購入しました。その後、攻撃者は Mango Markets、AscendEX、FTX などの複数の取引所で現物 MNGO の購入を開始し、MNGO の価格は 0.91 ドルまで急騰しました。攻撃者はウォレット間の損益を決済し、2 番目のウォレットに巨額の未実現利益をもたらし、この未実現利益を利用して融資を受けました。その後、スポット MNGO の価格はすぐに 0.02 ドルに修正され、攻撃者が最初に MNGO 先物を購入した価格を下回りました。このエクスプロイトへの対応として、攻撃者はプロジェクトの分散型自律組織(DAO)のメンバーに対し、コミュニティが Solend という別の Solana プロジェクトを救済するための 6 月の作戦中に発生した不良債権を返済することに同意すれば、盗んだ資金の大部分を返還するという提案を行いました。その後、攻撃者のアブラハム・アイゼンバーグは、自身の行為はプロトコルの枠組み内で行われた「非常に有利な取引戦略」であり、「合法的な公開市場の行動であり、プロトコルを設計どおりに使用した」と主張しました。しかし、彼は後に商品詐欺、市場操作、電信詐欺の罪で起訴され、有罪判決を受けました。
3.3 Slope ウォレットのハック(2022 年 8 月)
2022 年 8 月 2 日午後 10 時 37 分(UTC)頃から約 4 時間にわたり、悪意のある攻撃者または複数の攻撃者が約 9231 の Solana ウォレットから約 410 万ドル相当の資産を不正に引き出しました。オンチェーン取引によると、影響を受けたウォレットの秘密鍵が漏洩または侵害され、悪意のある取引の署名に使用されたことが示されています。開発者、分析会社、セキュリティ監査人による調査の結果、影響を受けたアドレスは、iOS および Android 上の Slope ウォレットアプリケーション(Slope Finance によって作成および公開)で作成、インポート、または使用されたことがあるようです。これらの Slope ユーザーからの秘密鍵情報は、Slope アプリによってアプリケーション監視サービスに誤って送信されましたが、攻撃者がこの情報をどのように取得または傍受したかは現在も調査中です。Solana Labs、Solana Foundation、または Solana プロトコル自体に関連するコアコードはこの攻撃に関与していません。このエクスプロイトは、Solana と Ethereum アドレスをサポートする 1 つのウォレットプロバイダーに限定されているようですが、Phantom や Solflare などの他のソフトウェアウォレットのユーザーへの影響は、Slope 内で生成または保存されたシードフレーズのユーザーによる再利用の結果である可能性があります。これは現在、Slope 以外の特定のウォレット実装に直接関連する問題とは考えられていません。Ethereum ウォレットのユーザーへの影響も、Ethereum と Solana の両方が BIP39 ニーモニックを使用しているため、シードフレーズの再利用が原因である可能性が高いです。(Slope で使用されているかどうかにかかわらず)ハードウェアウォレットは影響を受けておらず、Slope ウォレットにインポート(または使用)されたことのないシードフレーズから生成されたウォレットも影響を受けていません。ただし、ユーザーが脆弱になるために必要だったのは、シードフレーズを Slope アプリにインポートすることだけでした。このインシデントへの対応として、Solana は影響を受けたウォレットプロバイダーに対し、ハックされたプラットフォームは放棄されたものとして扱うべきであると警告しました。Solana Foundation と Phantom ウォレットチームは、ユーザーに対し、ハードウェアウォレットに資金を移動し、新しいシードフレーズを生成するようアドバイスしました。Slope は侵害を認め、調査を継続しました。
3.4 その他の重要なインシデント
- @solana/web3.js サプライチェーン攻撃(2024 年 12 月): 広く使用されている@solana/web3.js npm パッケージを標的としたサプライチェーン攻撃により、悪意のあるコードが注入され、ユーザーの秘密鍵を収集して仮想通貨ウォレットから資金を不正に引き出すことが可能になりました。攻撃者は、npm パッケージのメンテナーの npm アカウントをフィッシング攻撃により侵害したとされています。侵害されたバージョン(1.95.6 および 1.95.7)には、addToQueue と呼ばれるバックドア関数が追加されており、これはトランザクションの署名とウォレットへのアクセスに使用される秘密鍵をキャプチャして外部に送信するように設計されていました。影響を受けたパッケージは週に 40 万回以上ダウンロードされており、悪意のあるバージョンが npm レジストリで約 5 時間利用可能でした。この攻撃による推定被害額は約 13 万ドルです。このインシデントは、ソフトウェアサプライチェーンのセキュリティにおける継続的な脆弱性と、悪意のあるパッケージを従来の脆弱性と同様に真剣に受け止める必要性を浮き彫りにしました。
- Loopscale ハック(2025 年 4 月): Solana ベースの分散型金融(DeFi)プロトコルである Loopscale は、2025 年 4 月 26 日に約 580 万ドルのエクスプロイトを受け、貸付市場を一時的に停止しました。このエクスプロイトは、Loopscale の市場運営における脆弱性を標的とし、RateX PT トークンの価格設定機能を悪用して、プラットフォームの USDC および SOL 保管庫から 570 万 USDC と 1200 SOL を不正に引き出しました。Loopscale の共同創設者である Mary Gooneratne は、一連の担保不足の融資が行われた後、ハッカーが資金を不正に引き出したと述べました。Loopscale はその後、「ローン返済、トップアップ、ループクローズ」を再開しましたが、「保管庫の引き出しを含む他のすべてのアプリ機能は、このエクスプロイトの調査と軽減策の確保のため、一時的に制限されています」と述べています。このエクスプロイトは Loopscale の USDC および SOL 保管庫のみに影響を与え、損失は約 Loopscale の総ロックバリュー(TVL)の 12%に相当します。
- 偽の Solana パッケージ(2025 年 1 月): 2025 年 1 月、セキュリティ研究者は、Solana 暗号開発者を標的とした悪意のある npm パッケージを発見しました。これらのパッケージ(「solanacore」、「solana-login」、「walletcore-gen」という名前)には、キーロギングと機密データ窃取が可能な Windows トロイの木馬とマルウェアが含まれていました。さらに、これらのパッケージは Slack Webhook と ImgBB API を悪用して、収集したデータを外部のアクターに転送していました。これらのパッケージは、以前に発見された高度に難読化されたコードを含む暗号窃取ツールとは異なり、意図や機能を隠蔽しておらず、単純でありながら不可解な性質を示していました。
4. エコシステムセクター別のエクスプロイトと脆弱性の分析
4.1 ブリッジ
クロスチェーンブリッジは、異なるブロックチェーン間で資産を移動できるようにする重要なインフラストラクチャですが、その複雑さと管理する大量の資本により、攻撃者にとって魅力的な標的となっています。Wormhole ブリッジのハックは、ブリッジにおける一般的な脆弱性、特に署名検証の欠陥を浮き彫りにしています。アクセス制御の問題も一般的な脆弱性であり、Poly Network ハックが示すように、攻撃者がプロトコルの制御を取得して資金を不正に引き出すことを可能にします。さらに、一部のブリッジは、トランザクションを承認するために限られた数のバリデーターに依存しており、Ronin Network ハックが示すように、これらのバリデーターが侵害されると壊滅的な結果につながる可能性があります。ブリッジが管理する資産の価値が高いほど、セキュリティ対策を強化し、徹底的な監査を実施することが不可欠になります。異なるブロックチェーン環境間の相互運用性という固有の複雑さにより、ブリッジは新たな攻撃対象となり続けています。
4.2 DeFi プロトコル
分散型金融(DeFi)プロトコルは、イノベーションとアクセスの機会を提供しますが、さまざまなエクスプロイトや脆弱性にも悩まされています。Mango Markets のエクスプロイトは、価格オラクルの操作が DeFi プラットフォームに与えるリスクを示しており、流動性の低いトークンは特に操作の影響を受けやすいです。フラッシュローンエクスプロイトも一般的であり、攻撃者は大量の資産を借りて価格を操作し、利益を得てからローンを返済することができます。さらに、スマートコントラクトのロジックエラーは悪用される可能性があり、Cashio エクスプロイトが示すように、攻撃者は未検証のアカウントをバイパスして大量のトークンをミントすることができます。DeFi プロトコルの複雑さと相互運用性により、セキュリティ監査を徹底的に実施し、堅牢なリスク管理メカニズムを実装することが不可欠です。
4.3 ウォレット
ユーザーウォレットは、デジタル資産を保管および管理するためのゲートウェイであり、攻撃者にとって主要な標的となっています。Slope ウォレットのハックは、秘密鍵の安全でない保管がもたらす壊滅的な結果を浮き彫りにしています。ホットウォレット(インターネットに接続されたウォレット)は、コールドウォレット(オフラインで保管されたウォレット)よりも脆弱性が高く、サプライチェーン攻撃(@solana/web3.js インシデントなど)やフィッシング攻撃もウォレットを標的とする一般的な手法です。ユーザーは、ハードウェアウォレットを使用し、シードフレーズを安全に保管し、疑わしいリンクやアプリケーションとのやり取りに注意することで、ウォレットを保護するための措置を講じる必要があります。ウォレットプロバイダーは、秘密鍵の安全な生成と保管を優先し、サプライチェーンの脆弱性から保護するための厳格なセキュリティ対策を実施する必要があります。
4.4 NFT とゲーム
現時点では、提供されたスニペットから、Solana 上の NFT やゲームに関連する特定のエクスプロイトや脆弱性の事例を特定するための十分な情報はありません。ただし、NFT の所有権とメタデータの固有の特性、およびブロックチェーンゲーム内のゲーム内資産は、特定のセキュリティリスクをもたらす可能性があることを認識しておくことが重要です。これらのリスクには、NFT の不正なミント、ゲーム内アカウントの侵害、およびゲーム内資産の悪用が含まれる可能性があります。Solana エコシステムにおける NFT とゲームの分野が成熟するにつれて、これらの分野に特化したセキュリティインシデントに関するより多くの情報が得られるようになる可能性があります。
5. 技術的な脆弱性と攻撃事例
5.1 再入攻撃
Solana の実行モデルは、クロスプログラム呼び出し(CPI)の深さを 4 に制限し、アカウントのルール(アカウントの所有者のみがそのデータを変更できるなど)を厳格に適用するため、Solana では再入攻撃は本質的に制限されています。したがって、EVM ベースのブロックチェーンで一般的な再入攻撃は、Solana ではそれほど懸念されていません。
5.2 アクセス制御の脆弱性
不適切なアクセス制御は、Solana スマートコントラクトにおける一般的な脆弱性です。署名者のチェックの欠如(トランザクションが適切な当事者によって署名されていることを確認しないこと)や所有者のチェックの欠如(アカウントが想定される公開鍵によって制御されていることを確認しないこと)により、攻撃者は許可されていないアクションを実行する可能性があります。たとえば、署名者のチェックがない場合、攻撃者は現在の管理者アカウントをパラメータとして関数に渡し、同時に自身のアカウントを新しい管理者として設定することで、コントラクトの管理者を悪意のあるアカウントに置き換える可能性があります。同様に、所有者のチェックがない場合、悪意のあるプログラムがプログラム派生アドレス(PDA)などの重要なアカウントを操作する可能性があります。
5.3 整数オーバーフロー/アンダーフロー
Solana スマートコントラクトでは、算術演算の結果が変数が保持できる最大値または最小値を超えた場合に、整数オーバーフローまたはアンダーフローが発生する可能性があります。これらの脆弱性は、資金の不正なミントやコントラクトロジックの操作につながる可能性があります。たとえば、コントラクトがユーザーの残高を増やすために加算演算を使用している場合、オーバーフローにより残高がゼロに戻る可能性があります。開発者は、オーバーフローやアンダーフローが発生しないようにロジックを実装するか、checked_add()などのチェックされた算術演算を使用してこれらの問題を軽減する必要があります。
5.4 論理的な脆弱性
論理的な脆弱性は、スマートコントラクトの意図されたロジックに欠陥がある場合に発生します。これらの脆弱性は、必ずしも明らかなコードエラーではありませんが、攻撃者が予期しない方法でコントラクトの状態または実行フローを操作することを可能にする可能性があります。Mango Markets のエクスプロイト は、論理的な脆弱性の例であり、攻撃者は価格オラクルを操作してプロトコルから資金を不正に引き出すことができました。Cashio のエクスプロイト も、コードの欠陥により、担保なしで任意の数のトークンをミントできる論理的な脆弱性を悪用したものです。
5.5 ガバナンス関連の脆弱性
ガバナンス関連の脆弱性は、分散型自律組織(DAO)のガバナンスメカニズムの欠陥に関連しています。これらの脆弱性は、悪意のある提案の承認やガバナンスプロセスの操作につながる可能性があります。Mango Markets のエクスプロイト では、攻撃者は盗んだトークンを使用して、自身に有利な「バグ報奨金」を承認するガバナンス提案に投票しました。これは、ガバナンスメカニズムの設計と実装におけるセキュリティ上の考慮事項の重要性を浮き彫りにしています。
5.6 フロントランニング
フロントランニングは、トランザクションがブロックチェーンに追加される前に、保留中のトランザクションに関する情報を使用して利益を得ようとする場合に発生します。これは、分散型取引所(DEX)などの透明性の高い分散型市場で特に懸念されます。悪意のあるアクターは、保留中の大きな取引を観察し、自身の取引をより高いガス料金で送信して、被害者の取引の前に実行されるようにすることで、価格変動を利用することができます。Solana は、トランザクションの順序付けに Proof of History(PoH)プロトコルを使用することで、トランザクション手数料とタイムスタンプの差異に基づくアービトラージを防ぐことを目指していますが、フロントランニングのリスクは依然として存在します。
6. 主要なハッキンググループと攻撃者
6.1 Lazarus Group
Lazarus Group は、北朝鮮に関連するとされる悪名高いサイバー犯罪組織であり、2007 年頃から活動しており、世界中のさまざまな金融機関や仮想通貨取引所を標的としてきました。このグループは、高度なサイバー攻撃を実行し、マルウェアを展開して資金を盗み出す能力で知られています。2025 年 2 月には、Bybit 仮想通貨取引所から 14 億 6000 万ドル相当のイーサリアムを盗んだとされる、史上最大の仮想通貨強盗に関与したとされています。このグループによる仮想通貨盗難からの収益は、北朝鮮の核兵器開発計画に充てられていると信じられています。
6.2 Dark Storm Team
Dark Storm Team は、2023 年後半から活動している親パレスチナのハッカーグループであり、政府やイスラエルを支援するとされる組織を標的としています。このグループは、分散型サービス拒否(DDoS)攻撃、ランサムウェア攻撃、およびハクティビズムで知られています。2025 年 3 月には、複数の停止を引き起こした X(旧 Twitter)に対するサイバー攻撃の責任を主張しました。興味深いことに、Dark Storm Team は、攻撃と同時に、Solana ブロックチェーン上の独自の仮想通貨である DARKSTORM/SOL を宣伝しており、その動機について懸念が高まっています。このトークンは、ポンプアンドダンプスキームの兆候を示しており、グループがサイバー攻撃を使用して誇大宣伝を生み出し、トークンの価値を人為的に高めてから売却する可能性があるという懸念があります。
6.3 その他の攻撃者とパターン
提供されたスニペットは、Solana エコシステムを標的とする他の特定のハッキンググループを特定していません。ただし、インシデントの分析は、攻撃者がさまざまな手法を使用していることを示唆しており、これにはスマートコントラクトの脆弱性の悪用、ソーシャルエンジニアリング、およびサプライチェーンの侵害が含まれます。資金洗浄のパターンには、盗まれた資金をさまざまなウォレットに分散させたり、分散型取引所(DEX)やミキサーを使用して資金の出所を隠蔽したりすることが含まれます。これらのメカニズムの効果は、保険の範囲、保険料、および保険金請求プロセスの効率によって異なります。
6.4 ホワイトハットハッカーの介入
ホワイトハットハッカーが介入して資金を回収した事例もいくつかあり、たとえば、1inch DEX に対する攻撃 では、攻撃者が資金の 90%を返還し、残りの 10%を報奨金として保持しました。攻撃者の動機は主に金銭的な利益のようですが、ハクティビズムなどの他の動機も存在する可能性があります。法執行機関は、Avi Eisenberg の逮捕と起訴が示すように、仮想通貨関連の犯罪に対応しています。
7. インシデント対応と復旧
7.1 主要なインシデント後の緊急対応プロセス
主要なセキュリティインシデントが発生した後、Solana エコシステムの緊急対応プロセスには通常、いくつかの段階が含まれます。まず、影響を受けたプロジェクトまたはネットワークは、エクスプロイトの範囲と性質を評価するために迅速な調査を開始します。これには、オンチェーンデータの分析、セキュリティ専門家との連携、およびインシデントの根本原因の特定が含まれます。次に、影響を受けたエンティティは、ユーザーにインシデントについて通知し、リスクを軽減するための手順(資金を別の安全なウォレットに移動するなど)を推奨します。多くのケースでは、特に DeFi プロトコルの場合、影響を受けたプラットフォームは、さらなる損失を防ぐために取引や引き出しを一時的に停止します。
7.2 フォークやアップグレードによる対応事例
提供されたスニペットには、主要なセキュリティインシデントに対応するためのフォークやアップグレードの具体的な事例は記載されていません。ただし、Solana は、ネットワークの安定性とセキュリティを向上させるために、定期的なアップグレードとパッチを実施しています。この迅速な対応により、ネットワークの安定性が維持されました。
7.3 資金回収の成功事例と回収率
資金回収の成功事例はいくつかあります。2025 年 3 月には、分散型取引所(DEX)である 1inch から 500 万ドルを盗んだ仮想通貨ハッカーが、DEX が残りの仮想通貨資産を返還する代わりに 50 万ドルの報奨金を提示した後、資金の 90%を返還しました。Poly Network に対する 6 億 1100 万ドルのハックでは、攻撃者は「楽しみのため」または挑戦としてネットワークを標的としたと主張し、盗まれた資金の大部分を返還しました。ただし、すべてのインシデントで資金が回収されるわけではなく、回収率はインシデントの性質、攻撃者の特定、および資金洗浄の複雑さなどの要因によって大きく異なります。
7.4 バウンティプログラム
バウンティプログラムは、脆弱性を責任を持って開示するホワイトハットハッカーを奨励するために、Solana エコシステム内のプロジェクトや Solana Foundation 自体によってますます採用されています。Wormhole は、エクスプロイトの詳細と盗まれた資金の返還に対して 1000 万ドルの報奨金を攻撃者に提供しました。Solana の開発者は、Firedancer バリデータークライアントのバグ報奨金プログラムを開始し、主要な欠陥を発見したテスターに 100 万ドルを提供しています。これらのプログラムは、潜在的な脆弱性を特定し、悪用される前に修正するのに役立ちます。
7.5 保険と補償メカニズムの効果
提供されたスニペットには、Solana エコシステムにおける保険や補償メカニズムの効果に関する具体的な情報は記載されていません。ただし、仮想通貨保険は進化する分野であり、ユーザーやプロトコルがハッキングやエクスプロイトによる損失から身を守るためのオプションを提供しています。これらのメカニズムの効果は、保険の範囲、保険料、および保険金請求プロセスの効率によって異なります。
7.6 コミュニティの対応
Solana コミュニティは、セキュリティインシデントに対応する上で重要な役割を果たしています。インシデントの特定と報告、調査への参加、およびセキュリティ対策の推奨において積極的です。これにより、セキュリティインシデントの影響を最小限に抑えるのに役立ちます。
7.7 規制当局の介入
規制当局は、仮想通貨市場におけるセキュリティインシデントへの関心を高めています。米国証券取引委員会(SEC)は、Mango Markets のエクスプロイト 4 に関与した Avi Eisenberg を起訴し、これらのインシデントにおける市場操作と詐欺の可能性を強調しています。これにより、仮想通貨エコシステムに説明責任と透明性をもたらすことを目指しています。
8. Solana プロジェクトにおけるセキュリティ強化策の進化
Solana プロジェクトは、エコシステムのセキュリティを強化するために継続的にセキュリティ対策を進化させています。コード監査は、潜在的な脆弱性を特定するために不可欠な慣行となっており、CertiK や PeckShield などの評判の良いセキュリティ監査会社が Solana プロジェクトの監査を実施しています。これらの高度なセキュリティ手法は、スマートコントラクトの信頼性を高めるためにますます重要になっています。
8.1 バグ報奨金プログラム
バウンティプログラムは、脆弱性を責任を持って開示するホワイトハットハッカーを奨励するために、Solana エコシステム内のプロジェクトや Solana Foundation 自体によってますます採用されています。Wormhole は、エクスプロイトの詳細と盗まれた資金の返還に対して 1000 万ドルの報奨金を攻撃者に提供しました。Solana の開発者は、Firedancer バリデータークライアントのバグ報奨金プログラムを開始し、主要な欠陥を発見したテスターに 100 万ドルを提供しています。これらのプログラムは、潜在的な脆弱性を特定し、悪用される前に修正するのに役立ちます。
8.2 セキュリティのベストプラクティスの普及
開発者向けのセキュリティのベストプラクティスの普及も進んでおり、安全なコーディング手法と一般的な脆弱性の回避に重点が置かれています。緊急プロトコルは、主要なセキュリティインシデントに対応するための迅速かつ効果的な対応を確保するために開発されています。
9. Solana ネットワークレベルのセキュリティ
Solana ネットワークレベルのセキュリティには、分散型サービス拒否(DDoS)攻撃、バリデーターセキュリティ、コンセンサスメカニズムの脆弱性などの側面が含まれます。Solana は過去に、Grape Protocol の IDO90 などの高トラフィックイベント中に DDoS 攻撃を経験しており、ネットワークの混雑と停止につながっています。これらの攻撃を軽減するための措置として、レート制限やトランザクション転送の優先順位付けなどの輻輳管理メカニズムを実装することを講じています。
9.1 バリデーターセキュリティ
バリデーターは、トランザクションを処理し、ネットワークを保護する上で重要な役割を果たしており、安全なキー管理とサーバーセキュリティ対策を実装することが不可欠です。
9.2 コンセンサスメカニズムの脆弱性
Solana のコンセンサスメカニズムである Proof of Stake(PoS)と Proof of History(PoH)は、ネットワークの整合性を確保するように設計されていますが、中央集権化の可能性など、潜在的な脆弱性がないわけではありません。Solana は、バリデーターの数を増やし、ハードウェア要件を強化し、料金体系を変更することで、これらの懸念に対処するための取り組みを継続しています。
10. Solana エコシステム全体のセキュリティトレンド
Solana エコシステムにおけるセキュリティインシデントの全体的な傾向は、インシデントの数と経済的損失の両方に変動が見られます。2022 年は、Wormhole と Mango Markets の重大なエクスプロイトにより、特に被害の大きい年でした。2024 年には、サプライチェーン攻撃の増加が見られ、@solana/web3.js インシデント がその一例です。2025 年の最初の数か月は、Bybit に対する大規模な攻撃が示すように、集中型取引所が主要な標的となっていることが浮き彫りになりました。地理的な分布とプロジェクトの成熟度との相関関係に関する具体的なデータは、提供されたスニペットでは明らかではありません。ただし、一般的に、より成熟し、より多くの資本を持つプロジェクトは、セキュリティ対策に投資する可能性が高くなります。セキュリティインシデント後の規制当局の対応の変化は、仮想通貨市場全体に対する規制の監視と執行の強化につながっています。
11. 結論と推奨事項
Solana エコシステムは、2019 年から 2025 年 4 月にかけて、さまざまなセキュリティインシデントに直面しており、その種類、頻度、および経済的影響は進化しています。Wormhole、Mango Markets、Slope ウォレットなどの主要なインシデントは、ブリッジ、DeFi プロトコル、ウォレットにおける一般的な脆弱性を浮き彫りにしています。サプライチェーン攻撃や DDoS 攻撃などの新たな脅威も、Solana ネットワークにとって課題となっています。エコシステムは、コード監査、バグ報奨金プログラム、セキュリティのベストプラクティスの普及など、セキュリティ対策を強化する上で大きな進歩を遂げています。ただし、脅威アクターは戦術を進化させ続けているため、警戒と継続的な改善が必要です。
Solana エコシステムのセキュリティをさらに強化するために、次の推奨事項が提案されます。
- 開発者向け: 安全なコーディング慣行を優先し、徹底的なテストを実施し、定期的なセキュリティ監査を実施し、依存関係を責任を持って管理します。
- ユーザー向け: 安全なウォレットの慣行を採用し、ハードウェアウォレットの使用を検討し、フィッシング攻撃やソーシャルエンジニアリング攻撃に警戒します。
- Solana エコシステム向け: ネットワークレベルのセキュリティを強化し、インシデント対応プロトコルを改善し、セキュリティのベストプラクティスに関するコミュニティ教育を促進します。継続的なセキュリティ監査とバグ報奨金プログラムを重視します。
Solana エコシステムは、その成長と革新的なテクノロジーにより、ブロックチェーン分野で大きな可能性を秘めています。セキュリティを優先し、これらの推奨事項を実施することで、Solana はユーザーと開発者にとって、より安全で信頼性の高いプラットフォームを確保することができます。
【ARM3rd とは】
ARM3rd はグローバル L1/L2 の開発支援、App Chain 企画、キラーアプリケーション創出に特化した、Web3・AI のプロフェッショナルファームです。Arweave や Solana はじめグローバルの Tier 1 プロトコル、および日本のエンタープライズとの卓越した協業実績を有しています。