この記事の要点
- Hyperbridgeが2026年4月13日、侵害発生を公式ブログで公表
- 脆弱性悪用で偽造DOT10億枚がETH上で発行される異例の事態
- 攻撃規模は約10億ドル相当も、流動性不足で利益は約23万ドルにとどまる/li>
- 被害はブリッジ済みDOTに限定、ポルカドット本体への影響なし
Hyperbridge脆弱性で偽造DOT 10億枚が発行
ポルカドット(DOT)向けクロスチェーン相互運用プロトコル「Hyperbridge(ハイパーブリッジ)」で脆弱性が悪用され、イーサリアム(ETH)上で10億枚の偽造DOTが発行(ミント)されました。
ハイパーブリッジ側は2026年4月13日、侵害の発生を公式ブログで認めました。
10億枚のミント自体は額面で12億ドル約(1,910億円)規模に相当する大規模な攻撃でした。しかし攻撃者がブリッジ済みDOTプールで売却しようとした段階で流動性の薄さから価格が瞬時に崩壊し、最終的に得た利益は約23万7,000ドル(約3,772万円)にとどまったと伝えられています。
ハイパーブリッジ側は侵害を検知した直後にブリッジ機能を停止し、原因調査とセキュリティ対策の実装を進めています。
侵害の影響範囲についてハイパーブリッジ側は、ポルカドット本体のリレーチェーン・パラチェーン・ネイティブDOTに影響はなく、被害はイーサリアム上のブリッジ済みDOTに限定されると明らかにしました。
Security Update: Token Gateway exploit
On April 13, 2026, a vulnerability in Hyperbridge’s Token Gateway was exploited, resulting in approximately $237,000 in losses on Ethereum.
Bridging operations were paused immediately after detection, and this is an update on the…
— Hyperbridge (@hyperbridge) April 13, 2026
セキュリティアップデート:Token Gatewayの脆弱性悪用について
2026年4月13日、HyperbridgeのToken Gatewayに存在する脆弱性が悪用され、イーサリアム上で約23万7,000ドルの損失が発生しました。
問題の検知後、ブリッジ機能は直ちに停止されており、本件に関する最新の状況をご報告します。
「電源オフでも45秒で突破」
「最も安全」の看板、実装コードの欠陥で崩壊
人間依存を排した「信頼不要」の設計思想
ブロックチェーン分析企業チェイナリシスのデータによると、クロスチェーンブリッジを狙ったハッキング被害は累計20億ドル(約3,183億円)を超えています。
同社は被害の共通要因として、大半のブリッジで「バリデータと呼ばれる人間の集団が取引を監視・承認する設計が採用されており、その集団の信頼性が安全性の根拠となってきた」点を挙げています。
ハイパーブリッジは、こうした「人間への信頼」に依存する従来型ブリッジを置き換えるプロトコルとして設計されました。
同プロトコルは人間の承認を介さず、ポルカドットが生成する暗号学的証明(GRANDPA・BEEFYコンセンサス証明)をイーサリアム上で検証する仕組みを採用しています。
ハイパーブリッジは2025年12月の公式ブログで同プロトコルを”最も安全なブリッジ”と位置づけ、「偽造証明を成立させるためにはポルカドットのネットワーク全体を破壊する必要がある」と強調しています。
同社はネットワーク破壊コストの裏付けとして、バリデータが担保として積む10億ドル(約1,600億円)規模の資金を挙げており、この担保を崩すのは理論上ほぼ不可能だと説明していました。
証明検証コードの実装ミスが攻撃の糸口に
ブロックチェーンセキュリティ企業CertiK(サーティック)は今回の攻撃について「ポルカドット本体の破壊ではなくイーサリアム側に配置された検証コードの実装ミスを突いたものだ」と報告しました。
オンチェーン技術分析を公開しているCryipは「脆弱性がSolidity(イーサリアム系スマートコントラクト開発言語)で実装された検証コード側に存在した」と指摘しています。
同社によると、マークルマウンテンレンジ(Merkle Mountain Range)証明検証ロジックで入力検証が欠落しており、無効な証明が有効として受理される状態になっていたといいます。
さらにCryipは、欠陥を深刻化させたもう1つの要因として、ブリッジの異議申立て期間(challenge period)がゼロに設定されていた点に言及しました。不正な証明を事後に取り消すための時間的猶予が無効化されていたと説明しています。
10億枚ミントも利益は108.2ETHどまり
CertiKによると、攻撃者はこの2つの穴を利用して偽造メッセージを送り込み、イーサリアム上のブリッジ済みDOTトークン契約の管理権限を奪取しました。
管理権限を手にした攻撃者は、10億枚の偽造DOTを単一のトランザクションでミントし、分散型取引所ユニスワップV4(Uniswap V4)でETHに換金する一連の動作を短時間で完了させたとしています。
想定された12億ドル規模の利益には遠く及ばず、攻撃者が実際に得たのは108.2 ETH(約23万ドル)にとどまったと伝えられています。
その理由についてCertiKは、プールの流動性が薄く10億枚の売却圧で価格が瞬時に崩壊したためだと分析しており、より深い流動性を持つブリッジで同種の欠陥があれば被害額は大幅に膨らんでいた可能性があるとの見方を示しました。
ブリッジ停止後の対応、他資産への波及確認
ハイパーブリッジは侵害検知後ただちにブリッジ機能を停止し、セキュリティ企業と連携して流出資金の追跡と回収を進めていると発表しました。追加被害を防ぐため、イーサリアム側のホスト契約(EthereumHost)も凍結したとしています。
ブリッジ機能の再開については、追加のセキュリティ対策と第三者監査を経たうえで判断する方針を示しました。再開時期や対策の具体的内容については、発表が今後に持ち越されています。
被害そのものはイーサリアム上のブリッジ済みDOTに限定されたものの、同じゲートウェイ契約を利用する他のパラチェーンアセット(MANTA・CEREなど)にも同じ脆弱性を突いた二次的な攻撃が確認されました。
今回の問題は単なる一時的な侵害ではなく、クロスチェーンブリッジ全体の安全性を改めて問い直す事例として注目されています。
AI任せの危険性が露呈
設計思想は維持、実装監査が信頼回復の鍵
クロスチェーンブリッジをめぐっては、2022年のロニン・ブリッジやワームホールの大規模侵害以降も同様の被害が繰り返されており、設計思想の刷新だけでは安全性を担保できない現実が今回も示されました。
一方で、ハイパーブリッジが掲げてきた「暗号学的証明による信頼不要のブリッジ」という設計思想そのものは、ポルカドット本体が無傷だったことから有効性を保っているとみられています。
今回のぜい弱性は設計思想そのものではなく、イーサリアム側で実装された検証コードの不備に起因したものと整理されています。
今回の侵害が起きた時期は、DOTにとって重要な局面と重なります。グレースケールによるポルカドット現物ETF申請などDOTへの機関投資家の関心が高まるなかでの発生となり、エコシステムが次の成長フェーズへ進むうえで避けて通れない課題を突きつけました。
今後は、検証コードの修正やchallenge periodの再設定、第三者監査の結果が公開されるかどうかが、ハイパーブリッジの信頼回復を左右する焦点となります。
※価格は執筆時点でのレート換算(1ドル=159.17 円)
ハッキング関連の注目記事はこちら
Source:Hyperbridge公式ブログ
サムネイル:AIによる生成画像
コメント