2026年5月、Havenoデリバティブ取引プラットフォームを含む、Monero関連の複数のアプリケーションが悪用された。これらの事件はいずれもMoneroの基盤プロトコルを破るには至らなかった。リング署名、RingCT、ステルスアドレスといった機密性を扱う暗号化コアは関与しておらず、問題はアプリケーションコード、マルチシグ連携、およびプロトコルに関する運用方法にあった。
TL; DR: 2026年5月の事件では、モネロ自体が悪用されたわけではありません。被害を受けたのは、モネロを基盤とする、あるいはモネロに関連するアプリケーション(取引プラットフォーム、フェデレーションサービス、マルチシグコーディネーターなど)です。XMRをスワップしても、基盤となるプライバシー保護は変わりません。今回の教訓は、どのアプリケーション層を信頼するかということです。
2026年5月に実際に何が起こったのか
今月、モネロ関連ソフトウェアで一連のインシデントが発生した。最も話題になったのは、Haveno取引ソフトウェアにおけるアクティブなエクスプロイトで、 r/Monero 2026年05月21日 そして追跡された ハベノPR #2315この攻撃は、少なくとも1つの下流オペレーターに影響を与えた。公開されているRedditのスレッドによると、この攻撃は仲裁者を装った偽の確認メッセージを利用しており、攻撃者は資金が入金される前にマルチシグウォレットの設定に影響を与えることができた。ネットワークオペレーターは、修正プログラムが開発されるまで取引を停止するよう勧告された。
損失額は勧告発表時点では公表されておらず、修正についてはリンク先のプルリクエストで追跡されています。当社は公開レポートおよびアップストリームのパッチを参照しており、これらのURL以外の詳細は確認していません。
これらの事件はいずれもモネロのベースレイヤープロトコルに影響を与えなかった。 モネロプロジェクトのブログ これらの出来事に関連するプロトコルレベルの勧告は公表されず、また、当該期間中にMoneroの貢献者からチェーンの再編成、機密性の侵害、コンセンサスの失敗は報告されなかった。
ベースレイヤーが機能し続けた理由
Moneroの基盤レイヤーは、懸念事項を明確に分離しています。
- リング署名 複数の偽の生産物の中に、実際にどの生産物を使ったのかを隠す。
- RingCT 金額を隠します。 2017年1月にメインネットに導入されました。 (2026年05月28日取得)
- ステルスアドレス 受信機を隠す。
これらのプリミティブは長年運用されており、私たちの知る限り、稼働中のMoneroチェーン上でRingCTの機密性が暗号学的に侵害されたという報告はこれまでありません。手数料の計算ミス、GUIの不具合、ウォレット同期の不具合といったアプリケーションのバグは発生し、修正されますが、それらがオンチェーンの機密性保証を損なうことはありません。
アプリケーション層はまた別の話です。一般的に、アプリケーション層は比較的新しく、査読も(私たちの見解では)あまり行われておらず、GUIコード、ネットワーク調整、マルチシグフロー、サードパーティの仲裁者、オペレーターのインフラストラクチャなど、多くの要素が複雑に絡み合っています。2026年5月に発生したインシデントは、まさにこのアプリケーション層で発生しました。
これはスワップユーザーにとって何を意味するのか
非カストディアルサービスを通じてXMRを交換する場合、重要なのは、交換にかかる数分間の間に資金がどうなるかということです。非カストディアル交換とは、資金が第三者のエスクローに保管されるのではなく、直接通過することを意味します。通過時間が短く、必要な調整が少ないほど、攻撃対象領域は小さくなります。
| 表面 | リスクプロファイル | Notes |
|---|---|---|
| モネロのベースレイヤー | 安定した | これまでのところ、制作過程で機密保持義務違反が公に開示された事例はない。 |
| ウォレットソフトウェア | 穏健派 | バグは修正されます。ウォレットを常に最新の状態に保ってください。 |
| フェデレーション型マルチシグサービス | より高い | 連携ロジックは現在も攻撃対象となっている ― 2026年5月の事件を参照のこと |
| XMRを保有するカストディアル取引所 | 最高 | 資金はプラットフォーム上に留まり、取引相手リスクと上場廃止リスクが発生する。 |
特にスワップ取引においては、エスクローを行うプラットフォームよりも、非カストディアル型のプラットフォームを優先すべきです。資金を預からないスワップサービスであれば、エスクローに関するリスクを完全に排除できます。
XMRの交換時にエコシステムリスクを軽減する方法
- 非保管型のスワップパスを使用してください。 GhostSwapはKYC不要の仮想通貨取引所です。アカウントもメールアドレスもサインアップも不要です。資金は通過するだけで、当社が保管することはありません。 BTCからXMRへの交換ページ またはライブウィジェット ホームページ.
- 宛先住所はご自身でご確認ください。 ご自身のウォレットから、受取用のMoneroアドレスを貼り付けてください。第三者機関がマルチシグを設定するような、コピー&ペーストによる手順には頼らないでください。
- ウォレットソフトウェアは常に最新の状態に保ってください。 アプリケーション層のほとんどの問題は、報告されるとすぐに修正される。
- よりシンプルなスワップトポロジーを推奨します。 2つの当事者(あなたとスワップサービス)、1つの変動金利見積もり、1つのオンチェーン決済。GhostSwapは、主要な仮想通貨市場から変動金利で集約された流動性を利用するモデルを採用しており、5月に崩壊した調整面を回避しています。
FAQ
Q:モネロは2026年5月にハッキングされましたか?
A:いいえ。モネロの基盤となるプロトコルは悪用されていません。今回の事件は、モネロを基盤とする、あるいはモネロに関連するアプリケーションに影響を与えたものであり、チェーン自体には影響していません。この期間中にプロトコルレベルの侵害があったという報告は一切受けていません。
Q: XMRを保有したり交換したりするのは、まだ安全ですか?
A:XMRのプライバシー保護を支える暗号化技術(リング署名、RingCT、ステルスアドレスなど)は、2026年5月の事件の影響を受けませんでした。リスクはアプリケーション層(ウォレット、取引プラットフォーム、マルチシグコーディネーターなど)に集中するため、攻撃対象領域が小さいツールを選択する方が安全です。
Q: アカウントを持たずにXMRとの間で通貨を交換するにはどうすればよいですか?
A: GhostSwapはサインアップなしでXMRスワップをサポートしています。アカウントもメールアドレスも本人確認も不要です。200以上の資産で1,600以上のペアをサポートしています。完了時間の中央値は約8分ですが、チェーンの混雑状況によって変動します。 BTCからXMRへのペアページ または、 ホームページ.
Q: XMRを取引プラットフォームに保管しておくべきでしょうか?
A:それは個人の選択ですが、どのプラットフォームでXMRを保有する場合でも、そのプラットフォームの運用リスクにさらされることになります。自分で管理する非カストディアルウォレットを使用すれば、そのリスクを軽減できます。また、非カストディアルスワップを利用すれば、そもそもリスクが発生することはありません。
閉鎖
2026年5月の事件は、モネロの上位にあるアプリケーション層こそが運用リスクの大部分を占めており、チェーン自体にはリスクがほとんどないことを改めて示しています。最小限の合理的な範囲でXMRの交換を続けたいのであれば、非カストディアル方式を採用し、自身のアドレスを検証してください。
交換を開始する GhostSwapホームページ または直接に行きます BTCからXMRへのペアページ.
