Hyperliquidが開発するEVM互換ブロックチェーン「HyperEVM」上のDeFiレンディングプロトコルであるHypurrFiは、2026年4月4日、ドメインが乗っ取られた可能性があるとしてユーザーに警告を発しました。創設者のandroolloyd氏および公式チームは、原因の調査が完了するまでプラットフォームへのアクセスを控えるよう呼びかけています。本件は、スマートコントラクト自体に問題がなくても、ユーザーインターフェースを通じて被害が拡大するWeb3特有のリスクを改めて示しています。
ドメイン侵害の状況とユーザーへの呼びかけ
HypurrFiの創設者であるandroolloyd氏は、SNSプラットフォームのX(旧Twitter)において、Hypurr.fiドメインが侵害されていることを報告し、強い警戒を促しました。これを受けて公式チームも、チームからの再通知があるまではアプリにアクセスしないよう、ユーザーに対して明確な行動制限を提示しています。
現時点において、ユーザーの資金への直接的なリスクは確認されていません。また、Xなどのソーシャルメディアアカウントは引き続きチームの管理下にあり、公式からの情報発信は信頼できる状態が維持されていると説明されています。
フロントエンド攻撃のリスクと技術的背景
HypurrFiは、分散型取引所(DEX)であるHyperliquidが開発した「HyperEVM」というブロックチェーン上に構築された、資産の貸出および借入を行うためのプロトコルです。今回の事案で懸念されているのは、ウェブサイトのドメインを乗っ取ることで、ユーザーが操作する画面(フロントエンド)を改ざんする攻撃手法です。
ドメインが侵害されると、攻撃者は正規のウェブサイト上にウォレットドレイナー(ユーザーのウォレットから不正に資金を抜き取る仕組み)を仕込んだり、偽のトランザクション承認を促すコードを挿入したりすることが可能になります。暗号資産業界では、たとえ資産を管理するスマートコントラクト(ブロックチェーン上の自動実行プログラム)が安全であっても、ユーザーの入り口となるフロントエンドが悪用されることで被害が生じるケースが頻発しており、注意が必要です。
ポイント
- 2026年4月4日、DeFiプロトコルHypurrFiのドメインが侵害された可能性があるとして警告が出されました。
- チームは調査が完了するまで、アプリへのアクセスやプラットフォームの利用を停止するよう求めています。
- 現時点でユーザー資金への直接的な被害は確認されていませんが、予防的措置としてアクセス停止が推奨されています。
- スマートコントラクトの安全性とは別に、ウェブサイトの改ざんを通じて資金が抜き取られるリスクが指摘されています。
- HypurrFiは、Hyperliquidが展開するHyperEVM上に構築された主要なレンディングプロトコルの一つです。