Hyperliquid 過去のセキュリティ事案完全タイムライン

2026年5月6日

  • hyperliquid security timeline

  • hyperliquid incident history

  • hyperliquid security events

  • hyperliquid risk history

Hyperliquid は、オンチェーンの永久先物取引プラットフォームとして、高い処理性能と分散型取引の文脈で大きな注目を集めてきました。一方で、その成長過程では、トレーダーや開発者が把握しておくべきセキュリティ上の出来事やリスク事案もいくつか確認されています。

こうした事案を時系列で整理することは、単に「過去に何が起きたか」を振り返るだけではありません。プラットフォームのリスク構造、オンチェーン市場特有の攻撃手法、ユーザー側で取るべき防御策を理解するうえで重要です。

本記事では、公開情報で確認できる Hyperliquid エコシステムに関する主なセキュリティ・リスク事案を整理し、それぞれの影響と対応を解説します。

なお、本記事は公開情報に基づくものであり、検証できない具体的な数値や未確認の主張は扱いません。最新の稼働状況、監査状況、公式対応については、必ず Hyperliquid の公式ドキュメントや公式チャネルを確認してください。

なぜセキュリティタイムラインを確認する必要があるのか

永久先物を取引するユーザーにとって、取引プラットフォームのセキュリティ履歴は、カウンターパーティリスクを評価するための重要な材料です。

中央集権型取引所(CEX)の場合、内部処理や清算ロジックの多くは外部から見えにくいことがあります。一方、オンチェーンプロトコルでは、取引、清算、資金移動、コントラクト承認などの多くがブロックチェーン上に記録されます。そのため、事後分析がしやすく、同じようなリスクを再発防止の観点から検証しやすいという特徴があります。

GMX や dYdX など、主要な永久先物 DEX も成長の過程でさまざまなセキュリティ上の課題に直面してきました。Hyperliquid も例外ではありません。

特にオンチェーンデリバティブでは、スマートコントラクトの脆弱性だけでなく、流動性の薄い市場を利用した価格操作、オラクルや清算メカニズムへの圧力、フィッシング、偽サイト、悪意ある承認コントラクトなど、複数のリスクが重なり合います。

そのため、Hyperliquid を利用する場合も、単に手数料やレバレッジ、板の厚さだけでなく、過去のリスクイベントとその後の対応を確認しておくことが重要です。

事案タイムライン概要

2024年:北朝鮮系ハッカー関連アドレスとされる不審な動き

2024年後半、オンチェーン分析機関により、北朝鮮と関連がある可能性が指摘されるウォレットアドレスが Hyperliquid 上で大量の取引活動を行っていたことが報告されました。

この情報は暗号資産セキュリティコミュニティで広く議論され、一部の研究者は、これが単なる投機的取引ではなく、プラットフォームの仕様や潜在的な脆弱性を探る偵察行動であった可能性を指摘しました。

Hyperliquid チームはその後、プラットフォームのセキュリティ機構に侵害の兆候は確認されていないと説明し、不審なアドレスに対する監視を強化しているとしました。

この事案では、直接的な資産流出は確認されていません。しかし、重要な示唆があります。オンチェーンデリバティブプラットフォームは、一般的な個人トレーダーやマーケットメーカーだけでなく、高度な能力を持つ国家級のサイバー脅威アクターからも注目される対象になり得るということです。

特に Hyperliquid のように流動性、レバレッジ、清算メカニズムが密接に関係するプラットフォームでは、攻撃者がいきなり資金を盗むのではなく、まず取引仕様、清算条件、流動性分布を観察する可能性があります。

オンチェーン上の脅威背景を理解するには、Chainalysis が公開している暗号資産追跡やハッカー関連アドレスに関する研究も参考になります。

2025年3月:JELLYJELLY 価格操作事案

Hyperliquid エコシステムにおいて、これまで最も大きな議論を呼んだ単一事案のひとつが、2025年3月の JELLYJELLY(JELLY)をめぐる価格操作事案です。

この事案では、ある参加者が JELLY トークンの現物市場における流動性の薄さを利用し、永久先物市場で大きなポジションを構築したうえで、現物価格を引き上げたとされています。その結果、清算メカニズムに大きな圧力がかかり、不利なポジションが HLP 金庫へ移転される状況が発生しました。

その後、Hyperliquid のバリデータ委員会は JELLY 永久先物の上場廃止を投票で決定し、すべてのポジションを特定価格で強制決済しました。事案終了後、公式発表によれば HLP 金庫は小幅なプラスとなったとされています。

ただし、資金面の結果とは別に、この対応はコミュニティ内で大きな議論を引き起こしました。特に注目されたのは、バリデータ委員会が市場を停止・上場廃止し、強制決済を行う判断を下した点です。

一部のユーザーは、緊急時のリスク封じ込めとして妥当だったと評価しました。一方で、別のユーザーは、こうした判断が可能であること自体が、プラットフォームの分散性や市場中立性に関する課題を示していると指摘しました。

この事案の重要な教訓は、オンチェーン永久先物のリスクが「スマートコントラクトの脆弱性」だけに限られないという点です。流動性の低い資産、レバレッジ、清算エンジン、保険基金または金庫、ガバナンス判断が組み合わさることで、市場構造そのものが攻撃対象になり得ます。

詳細な経緯や事後対応については、Hyperliquid Docs の関連告知を確認してください。

2025年:フィッシングサイトと偽ドメインの増加

Hyperliquid の利用者が増えるにつれて、2025年にはユーザーを狙ったフィッシング攻撃も目立つようになりました。

攻撃者は、公式サイトに非常によく似たドメインを登録したり、偽の Discord / Telegram ボットを作成したり、架空のエアドロップ情報を拡散したりして、ユーザーに秘密鍵やシードフレーズを入力させようとします。また、悪意あるサイト上でウォレット接続を求め、不正な署名やトークン承認を誘導するケースもあります。

OWASP が示すフィッシング攻撃の定義や防御策は、この文脈でも非常に参考になります。フィッシングは技術的な攻撃であると同時に、ユーザーの焦り、欲、確認不足を狙うソーシャルエンジニアリングでもあります。

Hyperliquid の公式アプリ入口は https://app.hyperliquid.xyz/ です。これ以外の「Hyperliquid」を名乗るページで、秘密鍵、シードフレーズ、リカバリーフレーズの入力を求められた場合、それは詐欺と考えるべきです。

特に注意すべきパターンは以下です。

  • 公式に似た綴りのドメイン
  • 検索広告に表示される偽サイト
  • Discord や Telegram で突然送られてくる「サポート」リンク
  • 未確認のエアドロップ請求ページ
  • ウォレット接続後に不自然な署名を求めるページ
  • 「今すぐ請求しないと失効する」と急がせる文言

永久先物取引では、資金をすぐに動かす必要がある場面もあります。しかし、焦って URL を確認せずに署名すると、取引損失ではなくウォレット全体の資産流出につながる可能性があります。

2025〜2026年:HyperEVM ユーザーを狙う Drainer 悪意あるコントラクト

HyperEVM の展開により、Hyperliquid 上ではスマートコントラクトエコシステムが拡大し始めました。これはアプリケーションの可能性を広げる一方で、EVM 系チェーンで広く見られるリスクも持ち込みます。

代表的なものが、ERC-20 の承認(approve)を悪用する Drainer 攻撃です。

Drainer は、ユーザーに一見正当なトランザクションや署名を行わせ、実際には無制限または過大なトークン承認を与えさせます。その後、攻撃者は承認済みの権限を使って、ユーザーのウォレットから資産をまとめて移動します。

この攻撃の厄介な点は、ユーザーが「秘密鍵を入力していない」場合でも被害に遭う可能性があることです。秘密鍵が盗まれていなくても、悪意あるコントラクトに十分な承認を与えてしまえば、資産は移動され得ます。

Chainalysis による Drainer ツールキットの分析でも、Drainer はオンチェーン脅威の中で急速に拡大しているカテゴリのひとつとされています。

HyperEVM を利用するユーザーにとって、Revoke.cash などの承認管理ツールで定期的に不要な承認を確認し、取り消すことは基本的な自衛策です。

少なくとも以下の習慣を持つことをおすすめします。

  • 不明な dApp にウォレットを接続しない
  • 無制限承認を安易に許可しない
  • 署名前にトランザクション内容を確認する
  • 使わなくなったコントラクト承認を取り消す
  • 取引用ウォレットと長期保管用ウォレットを分ける

各事案から見えるリスクの違い

Hyperliquid に関連する主な事案を整理すると、リスクは大きくいくつかの種類に分けられます。

まず、2024年の不審アドレス活動は、外部の高度な脅威アクターによる観察・偵察リスクを示しています。これは直接的なハッキングではありませんが、プラットフォームが高度な攻撃者の分析対象になり得ることを示しました。

次に、JELLY 事案は、市場構造リスクです。流動性の薄い資産、永久先物、清算、金庫、バリデータ判断が重なることで、通常の価格変動とは異なるリスクが発生しました。

フィッシングサイトや偽ドメインは、ユーザー操作リスクです。プラットフォーム側のコントラクトが安全であっても、ユーザーが偽サイトで署名したり、シードフレーズを入力したりすれば、資産は失われる可能性があります。

Drainer 攻撃は、承認管理リスクです。EVM 系の利便性と引き換えに、トークン承認という仕組みを正しく理解しなければ、秘密鍵を漏らさなくても資産流出につながります。

つまり、Hyperliquid を安全に使うには、単に「プラットフォームが安全かどうか」だけを見るのでは不十分です。市場リスク、運用リスク、署名リスク、ウォレット管理リスクを分けて考える必要があります。

OneKey ハードウェアウォレット:複数の脅威に対する第一の防衛線

これらの事案を通じて共通する防御の考え方があります。それは、主要な資産をホットウォレット環境から切り離し、自分で管理できる場所に保管することです。

OneKey ハードウェアウォレットは、秘密鍵をオフラインで保管し、署名時にはデバイス上で物理確認を行う設計です。これにより、PC やブラウザ環境がマルウェアやフィッシングにさらされた場合でも、秘密鍵そのものが直接流出するリスクを抑えられます。

もちろん、ハードウェアウォレットを使えばすべてのリスクが消えるわけではありません。悪意ある承認に署名してしまえば、被害が発生する可能性はあります。そのため、署名前の確認、承認管理、URL 確認は引き続き必要です。

それでも、長期保有資産と短期取引用資金を分けるうえで、ハードウェアウォレットは非常に実用的な基盤になります。

OneKey Perps を使った実践的なワークフロー

Hyperliquid を含むオンチェーン永久先物を利用する場合、OneKey Perps を組み合わせることで、より整理された取引フローを作れます。

実践的には、以下のような運用が考えられます。

  • 主要資産は OneKey ハードウェアウォレットで保管する
  • 短期取引に必要な保証金だけを取引用ウォレットへ移す
  • OneKey Perps でポジション管理を行う
  • 署名や承認はハードウェアウォレット上で確認する
  • 不要な承認は Revoke.cash で定期的に取り消す
  • フィッシング防止のため、ブックマークした公式 URL からアクセスする

このように、長期保管と取引資金を分離することで、仮に取引用ウォレットがフィッシングや不正承認の影響を受けた場合でも、被害範囲を限定しやすくなります。

OneKey Perps は、永久先物取引をより安全に運用するための実用的な入口として活用できます。過度なリターンを約束するものではありませんが、ウォレット管理と取引操作を分けて考えたいユーザーにとって、検討しやすいワークフローです。

OneKey デバイスやアプリの利用を始める場合は、onekey.so/download から公式アプリを確認できます。製品情報は onekey.so でも確認できます。

よくある質問

Q1:Hyperliquid は公開されたセキュリティ監査レポートを出していますか?

最新の監査状況については、Hyperliquid の公式ドキュメントを直接確認してください。本記事では、検証できない監査結論や未確認の評価は引用しません。

Q2:JELLY 事案の後、Hyperliquid の上場基準は変わりましたか?

Hyperliquid チームは事案後、関連パラメータを見直す姿勢を示しました。ただし、具体的なポリシー更新については、公式発表を基準に確認する必要があります。継続的に公式チャネルを確認することをおすすめします。

Q3:「Hyperliquid」のサイトが本物かどうかはどう判断すればよいですか?

Hyperliquid の公式アプリ入口は https://app.hyperliquid.xyz/ です。署名、ウォレット接続、資金移動、秘密鍵に関わるページにアクセスする前に、必ず URL の綴りと HTTPS 証明書を確認してください。

秘密鍵やシードフレーズの入力を求めるページは、公式を装っていても詐欺と考えるべきです。

Q4:一般ユーザーはどのくらいの頻度でオンチェーン承認を確認すべきですか?

少なくとも月に一度は Revoke.cash などのツールで現在の承認状況を確認し、見覚えのない承認や長期間使っていない承認を取り消すことをおすすめします。

頻繁に新しい dApp やキャンペーンに参加するユーザーは、より短い間隔で確認したほうが安全です。

Q5:Hyperliquid で HLP に預けることと、直接永久先物を取引することのリスクはどう違いますか?

HLP への預け入れは、金庫全体の運用やシステムに関するリスクを負う形になります。一方、永久先物を直接取引する場合は、自分のポジションの方向性、レバレッジ、清算価格に関するリスクを負います。

どちらも損失の可能性があります。リスクの性質が異なるため、同じものとして扱わず、別々に評価することが重要です。

Q6:ハードウェアウォレットを使えば Drainer 攻撃を完全に防げますか?

完全には防げません。ハードウェアウォレットは秘密鍵をオフラインで守るうえで有効ですが、ユーザー自身が悪意ある承認に署名した場合、資産が移動される可能性があります。

そのため、ハードウェアウォレットとあわせて、署名内容の確認、承認の定期的な取り消し、信頼できる URL の利用が必要です。

結論

Hyperliquid のセキュリティ履歴を見ると、オンチェーンデリバティブプラットフォームが直面するリスクは多層的であることが分かります。

2024年の不審アドレス活動は、高度な脅威アクターによる観察リスクを示しました。2025年3月の JELLY 事案は、流動性の薄い市場と清算メカニズムが組み合わさった市場構造リスクを浮き彫りにしました。フィッシングサイトや偽ドメインは、ユーザー側の操作ミスを狙う攻撃が増えていることを示しています。HyperEVM の拡大に伴う Drainer 攻撃は、承認管理の重要性を改めて強調しています。

どのプラットフォームにも、リスクがゼロになることはありません。しかし、リスクを分類し、資産を分け、署名を確認し、不要な承認を取り消すことで、損失の可能性を下げることはできます。

最も基本的な考え方は、主要資産を自分でコントロールできる環境に置くことです。OneKey ハードウェアウォレットは、そのための実用的な選択肢です。さらに、OneKey Perps を利用すれば、短期取引用の資金と長期保管資産を分けながら、オンチェーン永久先物のワークフローを整えやすくなります。

Hyperliquid やその他のオンチェーン永久先物を利用する場合は、まず資産管理の設計から見直してみてください。OneKey の詳細は onekey.so で確認でき、アプリの利用開始は onekey.so/download から行えます。

リスク提示:本記事は情報提供のみを目的としており、投資助言、金融助言、法律助言ではありません。暗号資産取引には、元本損失、プラットフォームリスク、スマートコントラクトリスク、流動性リスク、規制リスクなどが伴います。過去のセキュリティ事案の整理は、将来のリスクを予測または保証するものではありません。必ずご自身のリスク許容度に基づいて判断してください。

OneKeyで暗号化の旅を守る

View details for OneKeyのご購入OneKeyのご購入

OneKeyのご購入

世界最先端のハードウェアウォレット。

View details for アプリをダウンロードアプリをダウンロード

アプリをダウンロード

詐欺アラート。すべてのコインをサポート。

View details for OneKey SifuOneKey Sifu

OneKey Sifu

暗号化の疑問を解消するために、一つの電話で。