2026年4月13日、イーサリアムネットワーク上のPolkadot(DOT)トークンコントラクトを標的としたエクスプロイト(脆弱性を突いた攻撃)が発生しました。オンチェーン分析の結果、攻撃者は10億DOTを不正に発行(ミント)し、即座に売却することで約108.2ETH(約23万7,000ドル)の利益を得たとされています。この事案は特定のゲートウェイを介したクロスチェーン資産の脆弱性を突いたものであり、Web3業界における相互運用性のリスクを改めて示すものとなりました。
不正発行と資産流出の経緯
オンチェーン分析担当のLookonchainおよびセキュリティ企業のCertiKの報告によると、攻撃者は単一のトランザクションで10億DOTを不正に発行しました。その後、攻撃者はこの膨大な供給量を即座に売却し、約108.2ETH(当時のレートで約23万7,000ドル相当)を獲得したとされています。
この急激な売り圧力により、分散型取引所(DEX)における該当トークンの価格は一時的にほぼ100%下落する壊滅的な影響を受けました。攻撃者は獲得したETHを外部のウォレットアドレスへ送金したことが確認されています。
攻撃の技術的背景とゲートウェイの脆弱性
今回の攻撃は、Polkadotのネイティブネットワークそのものではなく、イーサリアム上のHyperbridge(ハイパーブリッジ)ゲートウェイコントラクトの脆弱性が原因であると分析されています。
具体的には、ISMP(Interoperable State Machine Protocol:異なるブロックチェーン間で安全なメッセージングを可能にするプロトコル)におけるステートプルーフ(状態証明)の検証不備が突かれました。攻撃者はメッセージを偽造することで、イーサリアム上のDOTトークンコントラクトの管理者権限を不正に取得したと見られています。この権限を用いて、本来は不可能なはずの10億トークンの発行が実行されました。
なお、同日には同様の手法を用いてMANTAやCEREといった他のトークンも標的となっており、同じシステム上の脆弱性が繰り返し利用された可能性が指摘されています。
ネットワークへの影響と安全性に関する評価
今回の事案において最も重要な点は、脆弱性が存在したのはイーサリアム上のスマートコントラクトおよびブリッジゲートウェイであり、Polkadotのコアプロトコルやネイティブネットワーク自体は直接の被害を受けていないという点です。
しかし、イーサリアム上で運用されているERC-20形式のDOTを保有していたユーザーや、それを利用した分散型アプリケーション(dApps)は直接的な被害を受けました。この出来事は、エコシステムが複数のチェーンに拡大する中で、ラップド資産(他のチェーンの資産を模したトークン)やクロスチェーンブリッジのセキュリティ管理がいかに重要であるかを浮き彫りにしています。
ポイント
- イーサリアム上のPolkadotトークンコントラクトが攻撃を受け、10億DOTが不正発行されました。
- 攻撃者は発行したトークンを即座に売却し、約108.2ETH(約23万7,000ドル)を不正に取得しました。
- 原因はHyperbridgeゲートウェイにおけるメッセージ検証の脆弱性にあり、管理者権限が奪取されたと見られます。
- Polkadotのネイティブネットワーク自体には影響が出ていないことが確認されています。
- クロスチェーン資産やブリッジ技術の利用に伴うセキュリティリスクが改めて浮き彫りになった点で注目されます。