10億DOTが無から生み出されたが、ハッカーの収入はわずか23万ドルだった。

著者：周、チェーンキャッチャー

4月13日午前10時（北京時間）、オンチェーン監視プラットフォームは、Polkadotからイーサリアムネットワーク上でブリッジ資産の異常な発行があったことを警告した。
CertiKの分析によると、攻撃者はHyperbridgeのISMPプロトコルを介して、イーサリアム側のHandlerV1コントラクトに、綿密に作成されたクロスチェーンリクエストと、過去に認められた本物のMMR証明を送信し、検証メカニズムをうまく回避した。

BlockSec Phalconはその後、この脆弱性をMMR（マッチメイキングレーティング）対策済みのリプレイ脆弱性として分類する技術警告を発出した。彼らの分析によると、この脆弱性の根本原因は、HandlerV1コントラクトのリプレイ攻撃対策が、特定の要求のハッシュが以前に使用されたことがあるかどうかのみを検証し、証明検証プロセスが送信された要求ペイロードを検証済みの証明に結び付けていない点にある。

この論理的なギャップにより、攻撃者は過去に有効な証明を再生し、新たに構築された悪意のあるリクエストと組み合わせることができ、TokenGateway.onAccept() パスを介して ChangeAssetAdmin 操作を実行し、ラップされた DOT コントラクトの Ethereum (アドレス:0x8d...8F90b8) を攻撃者が制御するアドレスに転送します。

オンチェーンデータによると、攻撃者は発行権を取得した後、10億個のブリッジドDOTを発行した。これは、当時イーサリアム上で流通していた同トークンの約35万6000個の約2805倍に相当する。

その後、攻撃者はOdos RouterとUniswap V4流動性プールを通じてすべてのチップを約108.2 ETHと交換し、それを攻撃者の外部アカウントに送金しました。これにより、当時の価格に基づくと約237,000ドルの利益が得られ、攻撃全体で消費されたガス料金はわずか約0.74ドルでした。

BlockSec Phalconはまた、以前にも同じ手法を用いた攻撃があり、MANTAトークンとCEREトークンが標的となり、約1万2000ドルの損失が発生したと述べた。両攻撃による被害総額は約24万2000ドルに上る。

この事件を受けて、韓国の大手取引所であるUpbitとBithumbは、偽の入金リスクを防ぐため、DOTおよびAssetHub Polkadotネットワークの入出金サービスを一時停止すると発表した。

Polkadotの関係者は、この脆弱性はHyperbridgeを介してイーサリアムにブリッジされたDOTのみに影響し、Polkadotエコシステム内のDOT資産や、他のクロスチェーンブリッジを介して転送されたDOTには影響しないと述べています。Polkadotとそのパラチェーン、そしてネイティブDOTは、引き続き安全であり、影響を受けていません。現在、Hyperbridgeは問題調査のため一時停止されています。

特筆すべきは、鋳造規模が10億枚に達したにもかかわらず、実際の損失は理論上の数値よりもはるかに少なかったということである。イーサリアム上のラップドDOTのオンチェーン流動性が極めて限られているため、10億トークンの集中的な売り浴びせにより、ラップドDOTの価格は瞬時に1.22ドルから0.00012831ドルまで暴落し、99.98%の下落となり、ほとんどのトークンは清算に効果がなくなりました。

CoinMarketCapのデータによると、ネイティブトークンであるDOTの価格も、市場心理の影響で一時的に5％近く下落した。

Xのユーザーたちは、かつてイーサリアムと肩を並べていたクロスチェーン神話であるDOTが、ソーシャルメディア上でこのような形で爆発的に広まるとは誰が想像しただろうかと率直に述べている。クロスチェーンブリッジは再び仮想通貨世界の「アキレス腱」となり、これまで軽視されてきた分野から、破壊的な状況へと変貌を遂げた。10億DOTが突如出現した時、あらゆるテクニカル指標は無意味になった。

一部のユーザーは、流動性の低さが今回はポルカドットを救い、実際の損失を約23万7000ドルに抑えたと冗談交じりにコメントした。

しかし、ブリッジされた資産の流動性が低いことは、ハッカーの利益を制限する一方で、クロスチェーン相互運用性レイヤーの潜在的な脆弱性を露呈させた。

Polytope Labsが開発したHyperbridgeは、Polkadotエコシステム内のクロスチェーン相互運用性プロジェクトであり、その主要なセキュリティメカニズムとして、マルチシグネチャ委員会ではなく暗号学的証明に長年依存しており、信頼を最小限に抑えたクロスチェーンインフラストラクチャとしての地位を確立していると報じられている。このプロジェクトは以前から、一般的な橋梁攻撃に対する耐性を強調していた。

しかし、今回の事件は、暗号学的証明メカニズムの完全性だけではセキュリティを確保するには不十分であり、イーサリアム側のゲートウェイコントラクトの具体的な実装ロジックも攻撃対象となり得ることを示唆している可能性がある。

より広い視点で見ると、この事件は2026年以降DeFiで続いている深刻なセキュリティ状況を反映している。今年に入ってから、いくつかの重大な攻撃が発生している。例えば、Venusは価格操作によって215万ドルの不良債権を生み出し、Resolveは8000万USRを過剰発行し、Driftは2億8500万ドル以上の資産をハッキングされた。攻撃方法は様々で、影響を受けた領域も広範囲に及んでいる。

無制限の発行を可能にするために造幣権を奪取することは、新しい攻撃手法ではない。しかし、ハイパーブリッジの流動性が極めて低かったため、損失は予想外に最小限に抑えられた。

CertiKのデータによると、3月だけで46件のセキュリティインシデントが記録され、総損失額は約3980万ドルに達し、2024年11月以来の月間最高記録となった。CertiKはまた、コードの脆弱性を悪用する頻度が増加していることを指摘しており、これはAIを活用した脆弱性発見ツールの台頭と関連している可能性があるとしている。

攻撃頻度の増加は、業界にセキュリティと規制の境界線を再検討させるきっかけにもなっている。Circleの最高戦略責任者であるダンテ・ディスパルテ氏は以前、Drift Protocolの盗難事件を受けて、プロトコル、ウォレット、取引所、ステーブルコイン発行者に対し、セキュリティと説明責任を共通の義務と捉えるよう呼びかけ、DeFiプロトコルは、従来の市場サーキットブレーカー機構を参照したオンチェーンの技術的保護措置を開発し、次の重大な事件が発生する前に、財産権と金融プライバシー保護基準を法律に組み込むための関連法制を推進すべきだと示唆した。