Polkadot(ポルカドット)を基盤とするクロスチェーンプロトコル「Hyperbridge(ハイパーブリッジ)」は、2026年4月13日に発生したトークンブリッジ「Token Gateway(トークン・ゲートウェイ)」におけるエクスプロイト(脆弱性を悪用した攻撃)の被害額を、当初推定の約10倍となる約250万ドル(約3億9000万円)に引き上げました。この修正は、調査の進展に伴い、複数のブロックチェーン上のインセンティブプールにおける損失が新たに確認されたことによるものです。クロスチェーン間の資産移動におけるセキュリティリスクが改めて浮き彫りとなった事例として、業界内で注視されています。
被害額の修正と影響範囲の拡大
当初、今回のエクスプロイトによる被害額は約23万7000ドル(約3700万円)と推定されていました。しかし、その後の詳細な調査により、イーサリアム、Base(ベース)、BNB Chain(BNBチェーン)、Arbitrum(アービトラム)といった複数のEVM(イーサリアム・バーチャル・マシン)互換チェーン上のインセンティブプールでも損失が発生していたことが判明しました。
初期の報告ではブリッジされたDOTトークンの売却による影響に焦点が当てられていましたが、実際にはより広範な資産に被害が及んでいたことになります。なお、ハイパーブリッジ側は、今回の影響はToken Gatewayおよび関連するブリッジトークンコントラクトに限定されており、ポルカドット上のネイティブなDOTや、他のブリッジプロバイダーを経由した資産には影響はないと説明しています。
技術的な原因と復旧に向けた対応
今回のエクスプロイトの根本原因は、MMR(Merkle Mountain Range)証明の検証ロジックにあったと報告されています。MMRは、ブロックチェーンのデータ構造を効率的に検証するために用いられる技術ですが、その検証プロセスに脆弱性が存在していました。
現在、ハイパーブリッジは特定のバグ修正だけでなく、同様の脆弱性を根絶するための包括的な設計見直しとパッチの作成を進めています。Token Gatewayを通じたブリッジ機能は現在停止されており、再開にあたっては以下の条件を満たす必要があるとしています。
1. 脆弱性の完全な修正
2. 第三者機関によるセキュリティ監査の完了
3. 追加の安全対策の整備
資産回収の状況と補填計画
不正に流出した資金については、オンチェーン分析によって相当額が特定されており、その一部が暗号資産取引所のBinance(バイナンス)へ送金されたことが確認されています。ハイパーブリッジは、バイナンスのコンプライアンス部門および法執行機関と連携し、資産の凍結と回収に向けた手続きを開始しました。
ただし、こうした資金回収には数カ月から1年程度の時間を要する可能性があります。同社は、法執行機関による回収が十分でない場合、独自トークンである「BRIDGE」を用いた補填を検討しています。この補填の実施は、エクスプロイト発生から約1年後を目安に計画されています。
ポイント
- 被害額が当初推定の約10倍となる約250万ドル(約3億9000万円)へ大幅に上方修正されました。
- イーサリアムやBaseなど、複数のEVM互換チェーン上のインセンティブプールが攻撃の対象となりました。
- 技術的な原因はMMR証明の検証ロジックにあり、再開には第三者監査を含む抜本的な対策が必要とされています。
- 流出資金の一部は取引所で特定されており、回収が困難な場合には発生から1年後を目途に独自トークンによる補填が検討されています。
- クロスチェーンプロトコルの根幹に関わる脆弱性が判明したことで、相互運用性技術の安全性が改めて問われています。