暗号資産の世界では、時に「理論上の被害額」と「現実の収益」が大きく乖離することがある。週末、異なるブロックチェーンを繋ぐブリッジプロトコルであるHyperbridge(ハイパーブリッジ)を標的とした大規模な脆弱性攻撃が発生した。
攻撃者はシステムを欺き、膨大な量のトークンを無から生成することに成功した。しかし、皮肉にも市場の未成熟さが防波堤となり、犯人が手にした利益は発行額のわずか数千分の一に留まっている。
本記事では、Hyperbridgeで起きた技術的な不正の手口と、なぜ巨額の不正発行が限定的な被害で済んだのかを解説する。あわせて、DeFi(分散型金融)の王者であるAave(アーベ)が決定した、トークンホルダーにとって歴史的な収益分配のニュースについても触れていく。
Hyperbridgeへの攻撃と10億DOTの不正発行
2026年4月13日、クロスチェーンプロトコルのHyperbridgeにおいて、イーサリアム上のゲートウェイ契約を悪用したハッキングが発生した。攻撃者はこの脆弱性を利用して、10億枚ものポルカドット(DOT)トークンを不正にミント(発行)した。ミントされたDOTの価値は、当時のレートで約11億9,000万ドル付近という、天文学的な数字にのぼる。
攻撃の舞台となったのは、Hyperbridgeの「EthereumHost」と呼ばれる契約だ。この契約は、ポルカドット側からのメッセージが正当なものであるかを検証し、イーサリアム側でトークンの発行などの処理を行う役割を担っている。しかし、特定の呼び出し経路において、本来行われるべき検証がバイパスされる不備が存在していた。
オンチェーンデータによると、ポルカドットの価格はアジア時間の月曜朝の時点で1.20ドル付近で推移していた。幸いなことに、今回の攻撃はポルカドットのコアネットワークや、本来のDOTトークンのセキュリティに影響を与えるものではない。あくまで「イーサリアム上にブリッジされたDOT」の発行権限が一時的に奪われた形だ。
偽造されたクロスチェーンメッセージの仕組み
攻撃の手口は非常に巧妙だった。犯人は dispatchIncoming という関数を通じて、偽造されたメッセージを送信した。通常、こうしたメッセージはポルカドット側の状態証明(State Proof)と照らし合わせ、正当性が確認される必要がある。しかし、今回のケースではこの検証プロセスが機能していなかった。
セキュリティ企業の分析によれば、検証に使われるべきコミットメント値が「オールゼロ」の状態で保存されていたという。これは、身分証を提示すべき場面で、中身が空のカードを提示したにもかかわらず、システムが「有効なカード」として受理してしまったような状態だ。この検証ミスにより、偽造メッセージは正当なものとして TokenGateway へと引き渡された。
管理者権限の奪取とトークンのミント
偽造メッセージが受理された結果、攻撃者はブリッジされたDOTトークンの契約における「管理者権限(Admin)」を自身のウォレットアドレスに変更することに成功した。管理者権限を手に入れた犯人は、たった一度のトランザクションで10億枚のDOTを発行した。これは、本来の供給ルールを完全に無視した「無からの生成」である。
ブリッジプロトコルは、異なるチェーン間で資産を移動させるために、移動先のチェーンでトークンを発行する強い権限を持っている。この権限がハッキングによって奪われると、今回のように無限にトークンを生み出せてしまうリスクがある。これはクロスチェーン技術における最大のアキレス腱といえる。
流動性の壁が被害拡大を食い止めた皮肉
理論上、攻撃者は12億ドル近い資産を手に入れたはずだった。しかし、現実はそう甘くはなかった。犯人は不正に得た10億DOTを、分散型取引所(DEX)であるUniswap V4のDOT/ETHプールに投げ込んだが、そこで「流動性の欠如」という壁にぶつかったのだ。
流動性とは、市場における取引のしやすさを指す。例えば、バケツ一杯の水(流動性)しかない場所に、大型トラック一杯分の砂(トークン)を流し込もうとしても、あふれ出してしまうだけだ。犯人が一度に大量のトークンを売却しようとしたため、価格が暴落する「スリッページ」が発生し、1枚あたりの売却価格は1セントにも満たないほどにまで低下した。
最終的に、攻撃者が手にすることができたのは約108.2 ETHだった。金額に換算すると約23万7,000ドル付近である。12億ドル近い価値があるはずのトークンを売って、得られたのはその0.02%程度に過ぎない。流動性が低かったことが、結果として被害額を最小限に抑える安全装置として機能したのである。
ユニスワップV4でのダンプと滑り
犯人はOdos Router V3というアグリゲーターを使用し、効率的に売却を試みた。しかし、イーサリアム上のブリッジ版DOTのプールには、10億枚という巨額の売り注文を受け止めるだけの厚みがなかった。DEXでは注文サイズが大きければ大きいほど、約定価格が悪化する仕組みになっている。犯人がトークンを売れば売るほど、自分自身でDOTの価値をゼロに近づけてしまった格好だ。
ポルカドット本体への影響は皆無
今回の事件で重要なのは、ポルカドットのメインネットワーク自体には何の影響もなかったという点だ。不正に発行されたのはあくまで「Hyperbridgeが管理するイーサリアム上のトークン」であり、ポルカドットのバリデーターやガバナンスが侵害されたわけではない。ユーザーが保有しているネイティブなDOTは安全なままである。
もし、これがより流動性の高い資産や、より深いプールを持つブリッジで起きていれば、被害額は数億ドル規模に達していた可能性がある。セキュリティ企業のCertiKは、今回の攻撃ベクトルがHyperbridge固有のものであることを確認しており、他のブリッジ契約にも同様の脆弱性がないか警戒を呼びかけている。
繰り返されるブリッジ攻撃の教訓とリスク
2026年に入り、ブリッジやクロスチェーンインフラを狙った攻撃は後を絶たない。先月にはSolana(ソラナ)上のDrift Protocolで2億7,000万ドル規模の流出が発生したほか、インフラの妥協を狙ったソーシャルエンジニアリング攻撃も頻発している。なぜ、ブリッジはこれほどまでに狙われるのだろうか。
その理由は、ブリッジが「中央集権的な特権」を保持せざるを得ない構造にあるからだ。異なるチェーン間で資産を同期させるためには、特定の契約がトークンの発行やロック解除を行う強力な権限を持つ必要がある。この「鍵」を一つ盗まれるだけで、システム全体の崩壊を招く。まさに「単一障害点」となっているのが現状だ。
SolanaでのDrift Protocol事件との比較
Drift Protocolの事例では、コードの脆弱性というよりも、インフラ管理者の認証情報が奪われたことが原因だった。一方、今回のHyperbridgeのケースは、メッセージ検証という純粋なスマートコントラクトのロジックの不備が突かれている。手口は異なるが、どちらも「システムが想定していない権限行使」を許してしまった点では共通している。
管理者権限の集中が招くリスク
多くのプロジェクトでは、緊急時の対応のために管理者権限(Admin Role)を設けている。しかし、この権限こそがハッカーにとっての最大の獲物だ。今回の事件でも、犯人はまず管理者権限を奪うことから始めている。今後は、権限を分散させるマルチシグ(多重署名)の徹底や、権限変更に時間差を設けるタイムロックの導入が、これまで以上に強く求められるだろう。
Aaveが全収益還元を承認、ガバナンスの新時代
ハッキングのニュースが相次ぐ一方で、DeFiの健全な発展を示すポジティブな動きもある。レンディング最大手のAaveにおいて、ガバナンス投票により「Aave Will Win」という画期的な提案が承認された。これは、Aaveブランドのすべての製品から得られる収益の100%を、DAO(分散型自律組織)およびAAVEトークンホルダーに還元するというものだ。
この決定は、長らく続いていた開発元であるAave LabsとDAOとの間の手数料を巡る紛争に終止符を打つものとなる。2025年末、一部のスワップ手数料がDAOの財務(トレジャリー)を経由せずにリダイレクトされていたことが発覚し、コミュニティ内で大きな議論を呼んでいた。今回の可決により、経済的な権利が明確にトークンホルダーへと集約されることになる。
Aave Will Win提案の内容
この提案の核心は、Aaveの全製品が生み出すキャッシュフローを、透明性のある形でDAOに直接流し込むことにある。これにより、AAVEトークンは単なるガバナンス(投票)のためのトークンから、プラットフォームの成長を直接享受できる「経済的裏付けのある資産」としての性格を強める。投資家にとっては、プロトコルの利用拡大が自身の利益に直結する分かりやすい構造となる。
2025年からの手数料紛争に終止符
これまでの紛争は、DAOの自律性と開発企業の収益確保のバランスをどう取るか、という難しい問題を浮き彫りにしていた。しかし、Aaveのコミュニティは「全収益をDAOへ」という極めて透明性の高い道を選択した。これは、他のDeFiプロジェクトにとっても、ガバナンスと収益分配のあり方を示す重要な先行事例となるだろう。
独自の分析、インフラの脆弱性とDAOの成熟
Hyperbridgeの事件とAaveのニュースは、現在の暗号資産業界が抱える「光と影」を象徴している。一方で技術的な未熟さによるリスクが露呈し、もう一方で組織的な成熟が進んでいる。ここで、筆者なりの視点で今回の出来事を整理してみたい。
まず、ブリッジのセキュリティについては、今回「流動性」が防波堤になった事実に注目すべきだ。これは「ハッカーが儲からない環境」が、図らずもセキュリティの一翼を担っていることを示唆している。しかし、将来的にブリッジの利用が拡大し、流動性が深まれば、この防波堤は消滅する。その時までに、メッセージ検証の数学的な厳密さを高めるゼロ知識証明(ZKP)などの導入が急務となるだろう。
一方でAaveの動きは、DAOが真の意味で「企業の代わり」になりつつあることを示している。利益を株主に還元するように、プロトコルの収益をトークンホルダーに還元する仕組みが確立されたことは、DeFiが「実験段階」を終え、一つの経済圏として自立した証拠といえる。セキュリティのリスクを抱えつつも、こうしたガバナンスの進化が業界全体の信頼性を底上げしていくはずだ。
この記事のポイント
- Hyperbridgeの脆弱性が突かれ、約12億ドル相当の10億DOTが不正発行された。
- 検証プロセスの不備により、攻撃者がトークン契約の管理者権限を奪取したことが原因だ。
- 流動性が低かったため、犯人の実質的な利益は約23万7,000ドル付近(108.2 ETH)に留まった。
- ポルカドットのコアネットワーク自体には影響がなく、ユーザーの資産は安全に保たれている。
- Aaveでは全収益をDAOへ還元する提案が可決され、トークンホルダーの経済的権利が強化された。
暗号資産とブロックチェーンの可能性を追求するエミリー。
暗号資産投資、DeFi、NFT、WEB3、メタバースといった最先端分野を深く理解し、「エミリーズ・クリプト・インサイダー」を運営。
分かりやすい解説で、ブロックチェーン革命の潮流を一般に広めることを目指す。初心者から上級者まで、最新情報を求めるすべての人に役立つ情報発信を心がけている。