2026年4月30日、DeFiパーペチュアル取引プロトコルのWasabi Protocolが攻撃を受け、推定450万ドルから550万ドルが流出しました。
攻撃者はデプロイヤーEOA管理者キーを侵害し、Ethereum、Base、Blastの3チェーン上でADMIN_ROLEを取得後、UUPSプロキシアップグレードを通じて担保とプール残高を一掃しました。攻撃は協定世界時07:48頃から約2時間続き、最大の単一損失は840.9 WETH(190万ドル超)に達しました。エクスプロイト前のTVLはDefillamaによれば約850万ドルで、ZellicおよびSherlockの監査を受けていたものの、今回の攻撃はそれらの保護を完全に迂回しました。証拠金預け入れを支えていたVirtuals Protocolは即座に該当機能を凍結。2026年4月のDeFi全体の被害総額は6億ドル超に達し、Drift Protocol(約2億8500万ドル)、KelpDAO(約2億9200万ドル)などの大型事案が含まれます。
From: 
Wasabi Protocol Loses $5M After Attacker Seizes Deployer Admin Key Across 3 Chains
【編集部解説】
今回の事案は、単なる「またひとつのDeFiハッキング事件」として片付けるべきではない、構造的な転換点を示す出来事だと受け止めています。
まず、Wasabi Protocolという存在を整理しておきましょう。同プロトコルは、Ethereumやレイヤー2のBaseなどで稼働する分散型のパーペチュアル(無期限先物)取引プラットフォームで、ミームコインやNFTといった「ロングテール資産」にレバレッジ取引機能を提供してきました。2024年にはElectric Capitalがリードし、Alliance、Memeland、Pudgy PenguinsのCEOルカ・ネッツ氏らが参加した300万ドル(当時のレートで約4億5000万円規模)のシードラウンドを実施しており、Web3シーンでは存在感のあるプレイヤーでした。
今回の本質は、「コードの脆弱性ではない」という一点にあります。同プロトコルはZellicとSherlockによる監査を受けていましたが、攻撃者はコードの欠陥を突いたわけではなく、デプロイヤーのEOA(Externally Owned Account、秘密鍵で制御される通常のウォレット)である「wasabideployer.eth」の鍵そのものを侵害したのです。
技術的な流れを噛み砕くと、こうなります。まず攻撃者は侵害した鍵を使って、自身の制御下にあるコントラクトに「ADMIN_ROLE(管理者権限)」を付与しました。次に、UUPS(Universal Upgradeable Proxy Standard)というアップグレード可能なプロキシ規格を悪用し、Wasabiのボールトおよびロングプールの中身(実装ロジック)を、攻撃者用の悪意あるコードに丸ごと差し替えてしまいました。鍵を持つ者は、コントラクトの中身そのものを書き換えられたのです。
ここで決定的だったのは、Wasabiが「タイムロック(変更が反映されるまでの遅延)」も「マルチシグ(複数署名)」も「DAOガバナンス」も実装していなかった点です。Blockaidによれば、同プロトコルが採用するアクセス制御フレームワーク自体は遅延機能をサポートしていたにもかかわらず、その遅延設定が「ゼロ」だったとされています。安全装置は最初から無効化されていたわけです。
これは、Sodot共同創業者シャレヴ・ケレン氏がBeInCryptoに語ったとおり、「2026年において、署名・デプロイ・アップグレードのいずれかの段階に単一障害点を残すアーキテクチャは、もはや擁護不可能」という現実を浮き彫りにしました。監査では検出できないのです。バグはなく、設計判断の問題だからです。
被害の波及範囲も注目に値します。Wasabiを経由して証拠金預け入れを処理していたVirtuals Protocolは即座に該当機能を凍結し自社の安全を確保しました。Berachain Foundationは自ネットワーク上のWasabi報酬ボールトを停止・ブラックリスト化し、約5万ドル(約750万円相当)のユーザー資金を守るために緊急出金を呼びかけています。プロトコル間の依存関係(コンポーザビリティ)が、被害を瞬時にエコシステム全体へ伝播させる構造が改めて可視化されました。
そしてこの事案は、孤立した出来事ではありません。2026年4月の1ヶ月だけで、DeFiセクター全体の損失は6億ドル(約900億円)を優に超え、CoinDeskによれば年初来累計で7億7000万ドル超、The Defiantは「28件・約6億3500万ドル」と報じる、過去最悪級の月になりました。4月1日にはSolana上のDrift Protocolが約2億8500万ドル(北朝鮮系アクターの関与が指摘)、4月18〜19日頃にはKelpDAOがLayerZeroブリッジの単一バリデータ設定を突かれ約2億9200万ドルを失い、Aaveを含む下流のレンディングプロトコルにまで連鎖が及びました。
そして、ほぼすべての事案に共通しているのは、コードレベルのバグではなく「中央集権的な権限管理の失敗」です。アップグレード可能なプロキシは、バグ修正や機能追加を可能にする利便性の高い設計ですが、そのアップグレード権限を握る鍵が侵害されれば、監査済みの堅牢なコードであっても無力化されてしまいます。
さらに、実害の後にも二次被害が発生しています。「Wascbi Profocol」など、公式アカウントを装った偽アカウントが「承認の取り消し用リンク」と称してフィッシングサイトへ誘導する手口が確認されており、混乱に乗じた攻撃が連鎖しているのです。インシデント対応において、ユーザー側にもリテラシーが問われる局面が続きます。
長期的な視点で見れば、この一連の事象は規制当局の関心を強める材料になるはずです。「分散型」を標榜しながら、実態は単一のEOAに巨額のユーザー資金の運命が握られている——この構図は、TradFi(伝統金融)の規制論者にとって格好の批判材料となり、各国のDeFi規制議論にも影響を与えていくでしょう。
逆に言えば、これは健全な進化の機会でもあります。マルチシグ、タイムロック、DAO型ガバナンス、MPC(Multi-Party Computation)による鍵分散、ハードウェアセキュリティモジュール、ホワイトハッカーによる継続的なオンチェーン監視——個別技術はすでに存在しています。問題は、それらを「面倒だから」「ローンチを優先したいから」と省略してきた業界の慣行そのものです。
innovaTopiaがこのニュースを今報じる理由は、ここにあります。Web3が次のフェーズへ進むためには、「速さ」よりも「責任ある設計」が選ばれるカルチャーが必要です。アーリーアダプターである読者の皆さんが、プロジェクトを評価する際に「監査の有無」だけでなく「権限がどう分散されているか」を問う眼を持つこと——それが、未来のテクノロジーを健全に育てる最も実効的な方法だと、編集部は考えています。
【用語解説】
DeFi(分散型金融)
ブロックチェーン上で動作する金融サービスの総称。銀行や証券会社といった中央管理者を介さず、スマートコントラクトによって貸借・取引・デリバティブなどを実行する仕組みである。
パーペチュアル(無期限先物)
満期日のない先物契約。レバレッジをかけたまま無期限にポジションを保有でき、暗号資産デリバティブで主流の取引形態となっている。
EOA(Externally Owned Account)
秘密鍵を持つ人物が制御する一般的なEthereum系ウォレット。スマートコントラクト型のアカウントとは対照的に、鍵を握る者がすべての権限を握るシンプルな構造である。
ADMIN_ROLE
スマートコントラクトのアクセス制御フレームワークにおいて、最上位の管理者権限を表すロール。コントラクトのアップグレードやパラメータ変更などの強権を持つ。
UUPS(Universal Upgradeable Proxy Standard)
スマートコントラクトを後からアップグレード可能にする規格の1つ。コントラクトのアドレスを変えずにロジックを差し替えられる利便性がある一方、アップグレード権限を握る者がコード自体を悪意ある実装に置き換えるリスクも内包している。
マルチシグ(Multi-signature)
複数の署名者の承認がなければトランザクションを実行できない仕組み。1人の鍵が漏れただけでは不正操作ができないため、単一障害点を排除する基本的な対策である。
タイムロック
管理者の操作が即座に反映されず、一定時間の遅延を設ける仕組み。悪意ある変更が検知された場合に、ユーザーや監視ツールが対応する時間を確保する役割を担う。
DAO(Decentralized Autonomous Organization)
スマートコントラクトとトークン保有者の投票によって意思決定する自律分散型組織。プロトコルの重要変更を1人の判断ではなくコミュニティ全体の合意に基づかせる設計思想である。
TVL(Total Value Locked)
DeFiプロトコルに預け入れられている資産の総額。プロトコルの規模や流動性の指標として用いられる。
ロングテール資産
ビットコインやイーサリアムなどの主流資産以外の、流動性が低く取引されにくい銘柄群。ミームコインやNFTなどが含まれる。
rsETH
KelpDAOが発行する、イーサリアムのリキッドリステーキングトークン。担保として他のDeFiプロトコルでも利用される。
MPC(Multi-Party Computation)
秘密鍵を複数の当事者に分散保有させ、単一の主体が完全な鍵を持たない暗号技術。鍵管理の単一障害点を排除する先進的アプローチである。
【参考リンク】
Wasabi Protocol(公式)(外部)
今回の事案の当事者であるDeFiパーペチュアル取引プロトコルの公式サイト。
Virtuals Protocol(公式)(外部)
AIエージェント関連プロトコル。インシデント発生時に証拠金預け入れを即時凍結。
Berachain(公式)(外部)
Proof-of-Liquidityを採用するEVM互換のレイヤー1ブロックチェーン。
Blockaid(公式)(外部)
Web3向けセキュリティプラットフォーム。今回のインシデントを実時間検知。
Hypernative(公式)(外部)
DeFi向け脅威検知プラットフォーム。協定世界時07:48に攻撃を検知。
PeckShield(公式)(外部)
ブロックチェーンセキュリティ企業。被害規模を500万ドル超と推定。
CertiK(公式)(外部)
スマートコントラクト監査・セキュリティ企業。本件の最初期警告を発出。
DefiLlama(公式)(外部)
DeFiプロトコルのTVLを集計するデータプラットフォーム。
Revoke.cash(公式)(外部)
ウォレットからスマートコントラクトへの承認を取り消すツール。
Aave(公式)(外部)
分散型レンディングプロトコル。KelpDAO事案の下流連鎖被害を受けた。
LayerZero(公式)(外部)
クロスチェーンメッセージング基盤。KelpDAOブリッジ事案の舞台。
Drift Protocol(公式)(外部)
Solana上のパーペチュアル取引所。4月1日に約2億8500万ドルの被害。
KelpDAO(公式)(外部)
イーサリアムのリキッドリステーキングプロトコル。約2億9200万ドルの被害。
Electric Capital(公式)(外部)
Web3特化型VC。Wasabi Protocolの2024年シードラウンドをリード。
Etherscan(公式)(外部)
Ethereumブロックチェーンエクスプローラ。承認状況の確認等に使用。
Basescan(公式)(外部)
Baseチェーン用のブロックチェーンエクスプローラ。
【参考記事】
Crypto hacks continue as Wasabi Protocol drained of $4.5 million in admin key compromise(CoinDesk)(外部)
被害額を約455万ドル、2026年累計のDeFi損失を7億7000万ドル超と報じ、UUPSアップグレードによる手口を技術解説している。
Wasabi Protocol hit by more than $5 million exploit across multiple chains(The Block)(外部)
影響をEthereum・Base・Berachain・Blastの4チェーンと特定。タイムロック設定が「ゼロ」だった事実を伝えている。
Wasabi Loses $5M+ in Latest DeFi Exploit(The Defiant)(外部)
2026年4月のDeFi被害を「30日間で28件・約6億3500万ドル」と集計し過去最悪級と評価している。
Wasabi Protocol $5M Exploit Revives AI Hacker Theory(BeInCrypto)(外部)
連続するDeFi攻撃の背景にAIツール関与を疑う「AIハッカー理論」を紹介し、専門家コメントを掲載している。
“Withdraw Now”: Berachain Issues Urgent Warning After Wasabi Hack(CryptoTimes)(外部)
Berachain上の約5万ドル相当が危険と警告。TVLが850万ドルから810万ドルへ変動した経緯も報じる。
Wasabi Protocol Exploit Drains Over $5M Across Multiple Chains(Metaverse Post)(外部)
最大20倍レバレッジ仕様や、Tornado Cash資金アカウントへのADMIN_ROLE付与に関する報告を掲載している。
Electric Capital-backed Wasabi Protocol Hit by $4.5M Exploit(Bitcoin Foundation)(外部)
Electric Capital主導の300万ドルシード資金調達など、Wasabi Protocolの背景情報の出典となった。
【編集部後記】
DeFiが抱える「分散型」という看板と、たった1つの鍵に全てが集約される現実。今回の事案は、その隔たりを改めて私たちに突きつけました。皆さんが触れている、あるいはこれから触れようとしているプロトコルは、誰の手に「鍵」が握られているでしょうか。マルチシグやタイムロックの有無を確認する一手間が、これからのWeb3との向き合い方を変えるかもしれません。皆さんは、技術の利便性と「責任ある設計」、どちらをより重視して選んでいますか。
