Cosmosエコシステムのブリッジプロトコル「Gravity Bridge」が攻撃を受けた。バリデータが緊急停止に踏み切るなか、約5.4Mドル相当の資産が不正に流出したとみられている。
初期分析では、ブリッジ契約の署名鍵が侵害された可能性が高い。これは、年明けから続くクロスチェーンブリッジを狙った一連の攻撃の最新事例にあたる。
流出の経緯と検知の初動
この異常な資金流出を最初に察知したのは、オンチェーンアナリストのSpecter氏だ。同氏は5月31日、ソーシャルメディアXへの投稿で、Gravity Bridgeのコントラクトキーが侵害された兆候があると指摘した。
Specter氏は「Gravity Bridgeのコントラクトキーが侵害され、5.4Mドルが盗まれたようだ」と端的に報告。これを受け、セキュリティ企業PeckShieldもすぐに追跡調査の結果を公表し、被害を裏付けた。
ハッカーが狙った資産の内訳
被害にあった資産は多岐にわたる。PeckShieldの分析によれば、流出資産は主に以下のように分解できる。約430万ドル相当のUSDC、約55.3万ドルに相当する274WETH(ラップドイーサ)、43.4万ドル相当のUSDT、そして約6.4万ドル分のPAX Goldトークン14.164枚だ。
パブリックなブロックチェーン上でこれらが動いたため、被害状況は比較的早く明らかになった。重要なのは、攻撃者がただちに資金の洗浄に動いた形跡がある点だ。
資金洗浄の手口と現在の保有状況
PeckShieldの報告では、流出した資金の一部はすでにインスタントスワップサービス「ChangeNow」や大手取引所「Binance」を通じて洗浄された。こうしたサービスは、匿名性が高く、資金追跡を困難にするために悪用されるケースが後を絶たない。
一方で、攻撃者のウォレットには、依然として約2,102ETH(レポート時点で約423万ドル相当)が残っていたという。全容解明には至っていないが、被害金額の大部分はまだ攻撃者の管理下にあるとみられている。
Gravity Bridgeの緊急対応
事態を受け、Gravity Bridgeの運営チームはX上でインシデントの発生を認めた。具体的な技術的欠陥の詳細には触れず、「Gravityで不幸な出来事があった」と説明。調査が進行する間、全バリデータとオーケストレーターに運用の停止を要請した。
この指示に従い、ブリッジは事実上停止された。後続の投稿で、チームはブリッジが停止されたことを正式に確認している。プロトコルの自律性を考えれば、人の手による緊急停止はネットワーク全体の合意が不可欠だ。
Gravity Bridgeの仕組みと今回の弱点
Gravity Bridgeは、イーサリアムとCosmosエコシステム間でのトークンの双方向移動を可能にするブリッジだ。Cosmos系のDEXであるOsmosisから、イーサリアム上のUniswapといったDEXへも、トークンは自由に行き来できる。
このブリッジの最大の特徴は、その分散型設計にある。中央集権的なマルチシグやプライベートノードグループに依存せず、バリデータセット全体が転送を承認する仕組みをとっている。これは、空間内で最も分散化されたブリッジデザインのひとつとされていた。
しかし、今回の一件は、その強みであるはずのバリデータ構造の根幹、具体的には署名鍵の管理に深刻な脆弱性があった可能性を示唆している。分散化の度合いが高くとも、基盤となる鍵管理が単一障害点になれば、プロトコル全体のセキュリティは崩壊する。
GRAVトークンと市場への影響
Gravity BridgeにはネイティブトークンGRAV(Graviton)が存在する。これは、バリデータがブリッジを保護するために使用するトークンだ。事件の報道を受け、市場は迅速に反応した。
CoinMarketCapのデータによると、GRAVトークンは直近24時間で約4%下落し、0.0007053ドルで取引されている。被害金額そのものよりも、プロトコルの根幹に関わる信頼の毀損が、価格により大きな影を落としている可能性がある。
拡大するブリッジ攻撃とDeFiへの逆風
この事件は、単独のハッキング事例として片付けられるものではない。JPモルガンのアナリストが4月のリサーチノートで警告したように、ブリッジのセキュリティはDeFiが機関投資家の需要に応えるための最大の課題のひとつだ。
実際、最近発生したVersus-Ethereumブリッジへの攻撃は、2026年に入ってから8件目の大型ブリッジ侵害となった。これらのインシデントによる累積損失額は、すでに3億2,860万ドルに達している。数字だけを見ても、脅威の深刻さは明白だ。
KelpDAO事件がもたらした市場全体への波及
記憶に新しいのが、4月に発生したKelpDAOの侵害事件だ。この攻撃では約2.9億ドルが流出し、北朝鮮のハッキング集団Lazarus Groupの関与が指摘されている。この一件の衝撃は絶大だった。
DeFi全体のロックされた総価値(TVL)は事件前の約1,000億ドルから、わずか2日間で約860億ドルにまで急落。被害を直接受けていない他のプールにまで資金流出が連鎖する「伝染」現象が、市場の動揺を如実に物語っている。Gravity Bridgeの件もまた、そうした不信感をさらに増幅させる要因になりうる。
この記事のポイント
- Gravity Bridgeで約5.4Mドルの不正流出が発生し、署名鍵の侵害が疑われている。
- 被害資金の一部はChangeNowやBinance経由で洗浄され、追跡が困難になっている。
- 緊急対応として、Gravity Bridgeはバリデータの要請により全チェーンを停止した。
- 2026年の大型ブリッジ攻撃は8件目で、累積被害は3.2億ドルを超え、DeFi市場全体の信頼を揺るがしている。
暗号資産とブロックチェーンの可能性を追求するエミリー。
暗号資産投資、DeFi、NFT、WEB3、メタバースといった最先端分野を深く理解し、「エミリーズ・クリプト・インサイダー」を運営。
分かりやすい解説で、ブロックチェーン革命の潮流を一般に広めることを目指す。初心者から上級者まで、最新情報を求めるすべての人に役立つ情報発信を心がけている。