ハイパーブリッジ、エクスプロイト被害の再評価と回復対応を公表
ポルカドット(Polkadot)エコシステムのクロスチェーンブリッジ「ハイパーブリッジ(Hyperbridge)」が、4月13日に発生したエクスプロイトに関する回復対応の進捗と今後の方針を4月16日に発表した。
今回のインシデントではコントラクトの脆弱性を攻撃され約10億DOTが不正に発行されたものだ。暗号資産(仮想通貨)データプラットフォーム「コインゲッコー(CoinGecko)」によると、被害発生時点のDOT価格は約1.2ドル(約191円)であり、不正発行されたDOTは名目上約12億ドル(約1,909億円)に相当する。一方で、流動性が限られる中で大量のスワップが行われたことにより価格が大きく下落し、実際に換金された額は限定的となったと報告されていた。
同プロトコルは被害発生直後の報告では、実現損失額を約23万7,000ドルとしていたが、その後の調査により約250万ドル(約3億9,848万円)へと上方修正した。
また、影響範囲についても当初はイーサリアム(Ethereum)上のブリッジドDOTに限定されると説明されていたが、その後の分析により、ベース(Base)、アービトラム(Arbitrum)、BNBチェーン(BNB Chain)を含む複数のチェーンにまたがっていたことが明らかになった。
発表によると、今回の攻撃は2段階で実行されたという。最初に約245ETHが引き出され、その約1時間後にMMR(Merkle Mountain Range)証明の検証ロジックの脆弱性を悪用した不正なクロスチェーンメッセージにより、約10億枚のブリッジドDOTが不正に発行されたとのこと。攻撃者はこれらのトークンを分散型取引所で売却したとされる。
同プロトコルは、流出資金の多くがオンチェーン上で追跡されており、その相当部分がバイナンス(Binance)に送られたことを確認していると説明した。現在、同取引所のコンプライアンスチームおよび法執行機関と連携し、資産の凍結および回収を進めているとのこと。一方で、こうした事案における資金回収には数ヶ月から1年程度を要する可能性があるとしている。
なお、今回のエクスプロイトの影響はトークンゲートウェイ(Token Gateway)および関連するブリッジドトークンコントラクトに限定されており、ポルカドット上のネイティブDOTや他のブリッジを経由した資産には影響はないとしている。
トークンゲートウェイのブリッジ機能は現在も停止されており、再開には脆弱性の修正、独立監査の実施、追加の保護措置の導入が条件となるとしている。また、同プロトコルの他製品であるインテントゲートウェイ(Intent Gateway)などは今回の影響を受けておらず、通常通り稼働していると説明している。
また同プロトコルは、今回のインシデントに関連し、攻撃者による流動性の流出によって価格が大きく歪んだと説明している。その結果、一部のユーザーがその状態を利用して資産を引き出していたことも明らかにした。具体的には、少量のトークンと大量のDOTを交換可能な状態となっていたという。これにより一部ユーザーが取得したDOTをポルカドットへブリッジする動きが確認された。
同プロトコルは、これらの資金について価格が歪んだ状態で流動性プールから引き出されたものであり、本来は流動性提供者の資産であるとの見解を示している。
そのため同プロトコルはこれらの資金を保有するウォレットに対して返還を求め、4月30日までの14日間の任意返還期間を設けると発表した。この期間内に返還された資金は善意による行為として扱われる一方、未返還の場合はオンチェーン証拠とともに法執行機関へ引き渡されるとしている。
また、資金回収によって損失が完全に補填されない場合には、残余損失を補う手段としてネイティブトークン「BRIDGE」の割り当てを行う方針も示した。ただし、トークンによる補償は直ちには実施せず、まず資金回収を優先するとしている。補償の詳細については4月13日のエクスプロイト発生日から1年後に公表する予定だという。
なお、今回のハイパーブリッジの対応を巡っては、価格の歪みを利用して資金を取得したユーザーに対する返還要請についてコミュニティ内で議論も生じている。一部では、当該ユーザーはスマートコントラクトの仕様に基づき取引を行ったに過ぎず、不正行為には当たらないとする見方や、法的措置の適用の是非を問う声も見られる。
An update on the April 13 Hyperbridge Token Gateway exploit.
— Hyperbridge (@hyperbridge) April 16, 2026
Our initial loss estimate of approximately $237K has been revised upward to approximately $2.5M, with most of the increase reflecting losses from incentive pools across Ethereum, Base, BNB Chain, and Arbitrum.
During our ongoing investigation into the April 13 Token Gateway exploit, we have identified that a number of regular Hyperbridge users, distinct from the original attacker, also withdrew funds from the DOT escrow during or shortly after the incident.
— Hyperbridge (@hyperbridge) April 16, 2026
After the attacker drained…
参考:ハイパーブリッジ1・ ハイパーブリッジ2
画像:PIXTA