Hyperliquid の過去のセキュリティ事象・リスク事例の完全タイムライン

2026年5月11日

https://app.hyperliquid.xyz/ は、オンチェーン永久先物(Perps)プラットフォームとして、高い処理性能と分散型取引の文脈で大きな注目を集めてきました。一方で、その成長過程では、セキュリティや市場構造、ユーザー保護の観点から検討すべき複数の事象も発生しています。

こうした出来事を時系列で整理することは、単に「過去に何が起きたか」を確認するためだけではありません。トレーダーがプラットフォームリスクをより現実的に評価し、自分の資産管理ルールを見直すうえでも重要です。また、暗号資産コミュニティ全体にとっても、オンチェーンデリバティブが抱える構造的なリスクを学ぶ材料になります。

本記事では、これまでに公開情報として確認できる Hyperliquid docs エコシステムに関連する主要なセキュリティ事象・リスク事例を整理し、それぞれの背景、影響、対応を解説します。

なお、本記事は公開情報をもとにした情報整理であり、検証できない具体的な数値や未確認情報は引用しません。最新の状況や公式見解については、必ず Hyperliquid の公式ドキュメントおよび公式チャネルをご確認ください。

主な比較表

事件类型主なリスク源影響を受ける当事者自衛策
価格操作(JELLY 系)小規模時価総額資産の流動性不足HLP 預金者、小規模時価総額契約のポジション保有者低流動性契約を避け、HLP の集中ポジションを減らす
バリデーターの緊急対応中央集権化リスクすべてのポジション保有者プラットフォームのガバナンスメカニズムを理解し、プラットフォームリスクを分散する
国家レベルのハッカー偵察プラットフォーム基盤のセキュリティ潜在的な全ユーザーハードウェアウォレットを使用し、プラットフォームに多額の資金を長期間保管しない
フィッシングサイトソーシャルエンジニアリング一般ユーザー公式ドメイン経由でのみアクセスし、ブックマークナビゲーションを有効にする
Drainer コントラクト悪意ある承認HyperEVM ユーザー定期的に承認を取り消し、ハードウェアウォレットで署名する

なぜセキュリティタイムラインを把握する必要があるのか

永久先物を取引するユーザーにとって、取引プラットフォームのセキュリティ履歴は、カウンターパーティリスクを評価するための重要な材料のひとつです。

中央集権型取引所(CEX)の場合、内部処理やリスク管理の詳細が外部から見えにくいことがあります。一方、オンチェーンプロトコルでは、取引、清算、資金移動、コントラクト承認など、多くの行動がブロックチェーン上に記録されます。そのため、過去の事象をあとから分析しやすく、リスクの再現性やパターンを検証しやすいという特徴があります。

ただし、オンチェーンであることは「安全である」ことと同義ではありません。透明性が高いからこそ、攻撃者や市場参加者も同じデータを観察できます。流動性の薄い銘柄、清算ロジック、バリデーターの意思決定、ユーザーの署名行動など、さまざまな面がリスク要因になり得ます。

GMXdYdX などの主要な永久先物 DEX も、成長過程で異なる種類のセキュリティ課題や市場リスクに直面してきました。Hyperliquid も例外ではありません。

事象タイムラインの概要

2024年:北朝鮮系ハッカー関連と疑われるアドレスの異常行動

2024年後半、オンチェーン分析機関により、北朝鮮と関連がある可能性が指摘されるウォレットアドレスが Hyperliquid 上で大量の取引活動を行っていたことが確認され、暗号資産セキュリティコミュニティで広く議論されました。

一部の研究者は、これらの取引が単なる投機的なトレードではなく、プラットフォームの仕組みや脆弱性を探るための偵察行為であった可能性を指摘しました。オンチェーンデリバティブでは、注文板、清算、証拠金、流動性プールなどの挙動を外部から観察できるため、高度な攻撃者が事前調査を行う余地があります。

その後、Hyperliquid チームは公開の場で、プラットフォームのセキュリティ機構が侵害された兆候は確認されていないと説明し、異常アドレスに対する監視を強化していることを強調しました。

この事象によって直接的な資産損失が確認されたわけではありません。しかし、重要な現実を浮き彫りにしました。すなわち、オンチェーンデリバティブプラットフォームも、国家レベルのサイバー脅威アクターの監視対象になり得るということです。

オンチェーン上の脅威や資産追跡の背景を理解するには、Chainalysis が公開している暗号資産トラッキングや不正資金分析に関する研究も参考になります。

2025年3月:JELLYJELLY 価格操作事件

Hyperliquid エコシステムにおいて、これまで最も広く議論された単一の事象が JELLYJELLY(JELLY)に関する価格操作事件です。

この事件では、ある参加者が JELLY トークンの現物市場における流動性の薄さを利用し、永久先物市場で大きなポジションを構築したうえで、現物価格を押し上げたとされています。その結果、清算メカニズムが不利なポジションを HLP 金庫へ移す形となり、プラットフォーム全体のリスク管理が注目されることになりました。

その後、Hyperliquid のバリデーター委員会は投票により JELLY 永久先物を上場廃止とし、すべてのポジションを特定価格で強制決済しました。事件後、HLP 金庫は公式発表ベースでは小幅な黒字になったとされていますが、処理プロセスそのものはコミュニティ内で議論を呼びました。

特に焦点となったのは、分散性と緊急時対応のバランスです。市場操作に対して迅速に対応することはユーザー保護の観点で重要ですが、一方で、バリデーター委員会による判断がどこまで分散型プロトコルとして許容されるのかという論点も残りました。

この事件は、オンチェーン永久先物において「コントラクトが正常に動作していても、市場構造そのものがリスクになる」ことを示した代表例です。詳細な経緯やその後の対応については、Hyperliquid Docs に掲載されている関連アナウンスを確認することをおすすめします。

2025年:フィッシングサイトと偽ドメインの継続的な増加

Hyperliquid のユーザー数が増加するにつれ、ユーザーを狙ったフィッシング攻撃も目立つようになりました。これは Hyperliquid 固有の問題というより、人気のある暗号資産アプリケーション全般に共通するリスクです。

攻撃者は、公式サイトに酷似したドメインを登録したり、偽の Discord / Telegram ボットを用意したり、存在しないエアドロップや報酬キャンペーンを装ったりして、ユーザーに秘密鍵やシードフレーズを入力させようとします。また、悪意あるコントラクトへの署名を促し、ウォレット内の資産を抜き取るケースもあります。

OWASP が示すフィッシング攻撃の定義や防止策は、この文脈でも直接参考になります。暗号資産ウォレットを扱う場合、一般的なログイン情報の盗難だけでなく、署名やトークン承認が資産移動のトリガーになり得る点に注意が必要です。

Hyperliquid の公式アプリ入口は https://app.hyperliquid.xyz/ です。秘密鍵やシードフレーズの入力を求める「Hyperliquid」を名乗るページは詐欺です。正規サービスが秘密鍵を要求することはありません。

特に検索広告、SNS 投稿、DM、コミュニティ内の個別メッセージからアクセスするリンクには注意してください。ブックマークした公式 URL からアクセスする、署名前にドメインを確認する、ウォレット画面に表示される署名内容を読むといった基本動作が、被害防止に直結します。

2025〜2026年:HyperEVM ユーザーを狙う Drainer 型悪意あるコントラクト

HyperEVM の展開により、Hyperliquid 上ではスマートコントラクトエコシステムの拡張が進みました。これに伴い、ERC-20 の承認(approve)を悪用する Drainer 型攻撃のリスクも高まっています。

Drainer 攻撃では、ユーザーを偽サイトや偽キャンペーンに誘導し、無制限または過大なトークン承認を署名させます。ユーザーがその場で資産を失わなくても、後から攻撃者が承認済み権限を使って資産を一括で移動する可能性があります。

この種の攻撃は、秘密鍵を直接盗む必要がない点で厄介です。ユーザー自身がウォレットで署名しているため、表面上は正当なトランザクションとして処理されます。だからこそ、署名前に「何を承認しているのか」「どのコントラクトにどれだけの権限を渡すのか」を確認することが重要です。

Chainalysis による Drainer ツールキットの分析では、Drainer がオンチェーン脅威の中でも急速に拡大しているカテゴリのひとつであることが示されています。HyperEVM を利用するユーザーにとっても、これは無視できないリスクです。

基本的な自衛策として、Revoke.cash を定期的に利用し、不要なコントラクト承認を確認・取り消すことが推奨されます。特に、長期間使っていない dApp、覚えのないコントラクト、無制限承認が残っているトークンは優先的に見直すべきです。

各種事象から見えるリスクの違い

Hyperliquid に関連する過去の事象を並べてみると、リスクはひとつの種類に限定されないことが分かります。

北朝鮮系アドレスと疑われる異常行動は、高度な外部脅威アクターによる監視や偵察の可能性を示しました。JELLYJELLY 事件は、流動性の薄い銘柄と清算設計が組み合わさったときの市場構造リスクを示しました。フィッシングサイトや偽ドメインは、ユーザーの注意不足や確認不足を突く典型的なソーシャルエンジニアリングです。Drainer 型コントラクトは、オンチェーン承認の仕組みそのものを悪用します。

つまり、オンチェーン取引のリスク管理では、次のような複数の観点を同時に考える必要があります。

  • プラットフォームの技術的安全性
  • 市場設計と清算メカニズム
  • 上場銘柄の流動性
  • バリデーターや運営側の緊急対応プロセス
  • ユーザー自身のウォレット管理
  • フィッシングや偽サイトへの耐性
  • コントラクト承認の管理

どれかひとつだけを対策しても十分ではありません。特に永久先物では、価格変動リスクに加えて、証拠金、清算、流動性、プロトコル運営、ウォレット署名のすべてが損失につながる可能性があります。

OneKey ハードウェアウォレット:複数の脅威に対する第一の防衛線

上記の事象を通して共通して見えてくる防御の考え方があります。それは、主要な資産を日常的に使うホットウォレット環境から切り離すことです。

OneKey ハードウェアウォレットは、秘密鍵をオフラインで保管することで、ブラウザ拡張機能、マルウェア、フィッシングサイト、悪意ある署名誘導などによる被害経路を大きく減らすための実用的な手段です。もちろん、ハードウェアウォレットを使えばすべてのリスクが消えるわけではありません。しかし、秘密鍵をインターネット接続環境から分離することは、個人ユーザーができる最も基本的かつ効果的なセキュリティ対策のひとつです。

OneKey Perps と組み合わせて利用する場合、より管理しやすいワークフローを作ることができます。

  • ハードウェアウォレットで署名を行い、重要な操作ごとに物理確認を挟む
  • 長期保有資産や主要資産はコールドストレージに置き、短期取引用の証拠金のみを Hyperliquid に移す
  • 取引後は不要な残高を戻し、ホットな環境に置く資産を最小限にする
  • Revoke.cash で定期的に承認状況を確認し、不要なオンチェーン承認を取り消す
  • フィッシング対策として、公式 URL と署名内容を毎回確認する

OneKey Perps は、オンチェーン永久先物を利用する際の実践的な入口として活用できます。ただし、永久先物取引には高いリスクがあり、損失が発生する可能性があります。OneKey を使う目的は利益を保証することではなく、秘密鍵管理と署名確認の安全性を高め、リスクを整理しやすくすることです。

OneKey デバイスの導入方法を確認したい場合は、onekey.so/download からアプリを入手し、公式の案内に沿ってセットアップしてください。すでに Hyperliquid や HyperEVM を使っている場合でも、主要資産を分離し、OneKey Perps を使ったより安全な運用フローへ移行する価値があります。

よくある質問

Q1:Hyperliquid は公開されたセキュリティ監査レポートを出していますか?

最新の監査状況や公式な説明については、Hyperliquid の公式ドキュメントを直接確認してください。本記事では、検証できない監査結論や非公式な評価は引用しません。

Q2:JELLY 事件の後、Hyperliquid の上場基準は変更されましたか?

Hyperliquid チームは事件後、関連パラメータを見直す姿勢を示しました。ただし、具体的なポリシー更新や上場基準の変更については、公式アナウンスを基準に確認する必要があります。コミュニティ上の噂だけで判断しないようにしてください。

Q3:「Hyperliquid」と書かれたサイトが本物かどうかはどう確認すればよいですか?

Hyperliquid の公式アプリ入口は https://app.hyperliquid.xyz/ です。署名や接続を行う前に、URL のスペル、HTTPS 証明書、アクセス経路を確認してください。秘密鍵やシードフレーズの入力を求めるページは詐欺です。

Q4:一般ユーザーはどれくらいの頻度でオンチェーン承認を確認すべきですか?

少なくとも月に一度は Revoke.cash などでウォレットの承認状況を確認することをおすすめします。特に、新しい dApp を試した後、エアドロップ関連サイトに接続した後、普段使わないチェーンを触った後は、早めに承認を見直すべきです。

Q5:Hyperliquid で HLP に預けることと、直接永久先物を取引することのリスクはどう違いますか?

HLP への預け入れは、金庫全体の運用やシステム設計に関するリスクを負います。一方、永久先物を直接取引する場合は、自分のポジションの方向性、レバレッジ、清算価格、証拠金管理に関するリスクを負います。どちらにも損失の可能性があり、同じものとして扱うべきではありません。

Q6:ハードウェアウォレットを使えば Drainer 攻撃を完全に防げますか?

完全には防げません。ハードウェアウォレットは秘密鍵の流出リスクを大きく下げ、署名前の物理確認を可能にしますが、ユーザー自身が悪意ある承認に署名してしまえば、資産が移動される可能性は残ります。署名内容を確認し、不要な承認を定期的に取り消すことが重要です。

まとめ

Hyperliquid のセキュリティ履歴は、オンチェーンデリバティブプラットフォームが急速に成長するなかで直面する多層的なリスクを示しています。外部の高度な脅威アクター、市場操作、流動性の薄い銘柄、バリデーターによる緊急対応、フィッシング、Drainer 型コントラクトなど、リスクは単一ではありません。

どのプラットフォームもゼロリスクを保証することはできません。しかし、構造的なリスク管理によって、被害を受ける確率や損失規模を抑えることは可能です。

最も重要な考え方はシンプルです。主要な資産は、自分で管理できる環境に置くことです。OneKey ハードウェアウォレットは、そのための実用的な選択肢です。OneKey Perps を利用する場合も、主要資産をコールドストレージに分離し、必要な証拠金だけを取引に使い、署名と承認を定期的に確認する運用が基本になります。

OneKey を試したい方は、onekey.so で製品情報を確認するか、onekey.so/download からアプリをダウンロードしてセットアップを始めてください。オンチェーン取引を続けるなら、取引戦略と同じくらい、ウォレット管理と署名管理にも時間をかけるべきです。

リスクに関する注意:本記事は情報提供のみを目的としており、投資助言、財務助言、法的助言ではありません。暗号資産取引には高いリスクがあり、元本損失、プラットフォームリスク、流動性リスク、規制リスクなどが含まれます。過去のセキュリティ事象を整理することは、将来のリスクを予測または保証するものではありません。ご自身のリスク許容度に基づき、独立して判断してください。

OneKeyで暗号化の旅を守る

View details for OneKeyのご購入OneKeyのご購入

OneKeyのご購入

世界最先端のハードウェアウォレット。

View details for アプリをダウンロードアプリをダウンロード

アプリをダウンロード

詐欺アラート。すべてのコインをサポート。

View details for OneKey SifuOneKey Sifu

OneKey Sifu

暗号化の疑問を解消するために、一つの電話で。