クロスチェーンプロトコルであるGravity Bridgeにおいて、約540万ドル相当の暗号資産が不正に流出する事案が発生しました。スマートコントラクト自体の脆弱性ではなく、署名鍵の侵害による不正なアクセスが原因と見られています。攻撃者は盗み出した資産の多くをイーサリアムに交換しており、現在もその一部を保有しています。
不正流出の概要と被害状況
2026年5月30日、オンチェーンアナリストのSpecter氏などの報告により、クロスチェーンブリッジであるGravity Bridgeから多額の資産が引き出されていることが明らかになりました。セキュリティ企業のPeckShieldやCyvers Alertsなどの調査によると、流出した資産の総額は約540万ドルに上るとされています。
具体的な被害内訳としては、約430万ドル相当のUSD Coin(USDC)、約55万3,000ドル相当のラップドイーサリアム(WETH/274 ETH)、約43万4,000ドル相当のTether(USDT)、および約6万4,000ドル相当のPAYGトークン(14,164 PAYG)が含まれていると報告されています。攻撃者は奪った資産の大半をイーサリアム(ETH)にスワップしており、現在約420万ドル相当にのぼる2,102 ETHを依然として保有しています。また、盗難資産の一部はChangeNowやBinanceなどのプラットフォームを経由して移動されたことが確認されています。
技術的背景と原因の推測
今回の不正流出は、スマートコントラクト自体のバグや脆弱性を突いたものではなく、コントラクトの署名鍵(スマートコントラクトを操作するための秘密鍵)が漏洩したことによるものと見られています。
Gravity Bridgeは、イーサリアム(Ethereum)とコスモス(Cosmos)エコシステムをIBC(Inter-Blockchain Communication)を介して接続し、資産の相互運用を可能にするクロスチェーンブリッジです。攻撃前には約1,150万ドルの総ロック価値(TVL:スマートコントラクトに預け入れられた資産の総額)を有していたとされています。今回の事案では、検証済みのイーサリアム側コントラクトにおいて、権限を持つ署名鍵が不正に使用された形跡があり、システム側からは正規の権限による引き出しとして処理された可能性が高いと指摘されています。
クロスチェーンブリッジにおけるセキュリティの重要性
今回の事案は、Web3業界におけるクロスチェーンインフラストラクチャのセキュリティリスクを改めて浮き彫りにしました。クロスチェーンブリッジは大量の流動性がロックされている性質上、ハッカーにとって極めて魅力的な標的になりやすいとされています。
特に、スマートコントラクト自体が安全であっても、管理権限を持つ秘密鍵(マルチシグの署名鍵など)の管理体制に不備があれば、今回のような大規模な流出に繋がることが示されました。開発プロジェクトにおいては、ハードウェアを用いた安全な鍵管理やマルチシグによる権限分散、継続的なオンチェーン監視体制といった、運用面におけるセキュリティ対策の徹底が不可欠であると見られます。
ポイント
- クロスチェーンプロトコルであるGravity Bridgeから約540万ドル相当の暗号資産が不正流出しました。
- 流出の原因はスマートコントラクトの脆弱性ではなく、署名鍵の漏洩に伴う不正アクセスである可能性が高いとされています。
- 流出した資産には約430万ドルのUSDCやWETH、USDT、PAYGが含まれ、攻撃者はその多くをイーサリアムに交換して保有しています。
- 攻撃者は盗み出した資金の一部をChangeNowやBinanceなどを経由して移動させたことが確認されています。
- 管理権限を持つ署名鍵の管理体制は、プロジェクトの安全性において極めて重要な要素であることが改めて示されました。