暗号資産分野で注目すべき主なセキュリティとリスク事案：PIPPINによる市場操作、スマートコントラクトの脆弱性、取引所のカストディリスクについて解説

PIPPIN市場操作：26件の関連アドレスが中央集権型取引所から9,600万ドルを出金した手口

2025年、PIPPIN関連の26アドレスが連携して中央集権型取引所から合計9,600万ドルの大規模な出金を実行し、市場に大きな懸念を引き起こしました。この協調的な資金流出は、資本移動として非常に大きく、市場アナリストや規制当局の間で即時に警戒が高まりました。

複数アドレスによる同期的な出金は、自然なユーザー行動ではなく、明確に意図された連携であることを示唆しています。オンチェーン分析の結果、これらアドレスは取引履歴が相互に関連しており、統一された管理または協調のもとで運用されている公算が大きいと考えられます。出金のタイミングや規模も、PIPPINの価格推移を人為的に左右する市場操作の典型的な手法と一致しています。

SECはこれら疑わしい取引パターンへの調査を開始し、協調的な出金が市場操作に該当するかを検証しています。PIPPINはSymSense指標で第5位にランクされており、継続的な規制監視下にあります。アドレス群が協力して取引量を人為的に増加させ、価格変動を操作している証拠も見られ、コンプライアンス担当者や投資家は特に警戒が求められます。

スマートコントラクトの脆弱性とリエントランシー攻撃：2,700万ドルPenpie流出事例

2024年9月、Penpie Protocolは深刻なセキュリティ侵害により2,700万ドルの損失を被り、スマートコントラクト設計の重大な脆弱性が明るみに出ました。攻撃者は、PendleStakingコントラクトの_harvestBatchMarketRewards関数に存在したリエントランシー脆弱性を突き、必要なリエントランシーガードなどのセキュリティ対策がなかったことを利用しました。

攻撃手法は、redeemRewards()関数から特定マーケットのclaimRewards()を呼び出し、状態更新が完了する前に再帰実行を行うものでした。偽のSYトークンを発行し、高額なPENDLE-LPTトークンを預け入れることで、報酬分配ロジックを操作しました。プロトコルがマーケットの信頼性を検証していなかったため、脆弱性がさらに拡大し、体系的な悪用が可能となりました。

この事件により、Penpieのスマートコントラクトにはアクセス制御や検証メカニズムが不十分であったことが判明しました。攻撃者はLPTマーケットトークンを預け、それが誤って正当な報酬として認識され、検証がなされないまま報酬残高が増加しました。異常検知後、プロトコルチームは追加損失を防ぐべく運用を凍結しましたが、攻撃者はさらに1億500万ドル相当の資産を狙う悪意のあるコントラクトを展開していました。

Penpieハッキングは、単一のリエントランシー脆弱性が壊滅的な財務被害につながることを示しています。本事例は、DeFiエコシステムの保護には、リエントランシーガードや状態検証の導入、メインネット導入前の包括的なスマートコントラクト監査など、強固なセキュリティ対策が不可欠であることを改めて浮き彫りにしました。

取引所カストディリスク：内部管理で80〜90％のトークン供給集中が投資家の安全を脅かす

暗号資産取引所のカストディには、投資家保護の根幹を揺るがす前例のない集中リスクが存在します。PIPPINのケースでは、特に深刻な脆弱性が露呈しています。現在、内部アドレスがトークン供給量の約80％、管理資産額で約3億8,000万ドルを単一体制下で握っています。

SECの最新ガイダンスでも、こうした内部保有の集中が、通常の取引所リスクを超えるシステミックな脆弱性となることが指摘されています。内部アドレスが流通量の大部分を支配する場合、カストディフレームワークは形骸化し、投資家は実際の市場流動性や価格発見を確認できません。オフエクスチェンジ決済ネットワークや分別管理プロトコルが存在しない限り、ユーザー資産は内部統制リスクにさらされます。

主要な暗号資産プラットフォームでは、こうした集中リスクを回避するため、マルチベニュー流動性アクセスや統合型カストディーソリューションを導入しています。投資家は、自身の取引所カストディアンが透明な所有記録、過半数のコールドストレージ管理、本物の資産分別を実施しているかを必ず確認する必要があります。これらの対策がなければ、預け入れ資産の安全は担保されません。