暗号通貨攻撃事件は次々と起こっているが、こうした「大きなリスクを冒して小さな利益を得る」ケースはあまり見られない。今日(13日)早朝、ハッカーはHyperbridgeのクロスチェーン橋の脆弱性を突き、イーサリアム上で空から10億枚のポルカドット(DOT)トークンを鋳造し、その名目価値は11.9億ドルに達した。しかし、これらのトークンを売却しようとした際、流動性不足により、最終的に約23.7万ドルのイーサ(ETH)に換金したに過ぎない。 明確にしておくと、ハッカーの攻撃対象は「クロスチェーン橋のスマートコントラクト」であり、ポルカドットメインネット上のネイティブDOTトークンには影響がなかった。この脆弱性の主な原因は、HyperbridgeのEthereumHostコントラクトが、クロスチェーンメッセージをTokenGatewayに渡す前に、その真偽を正しく検証できていなかったことにある。
Bridged $DOT (@Polkadot)は@ethereum上で悪用された。
コントロール権が攻撃者のコントラクトに切り替えられ、次いで10億$DOT が鋳造され、即座に売却された。価格は1.22ドルからごくわずかな分数に暴落した。https://t.co/ECDT0RaHE9 pic.twitter.com/WUwxjtsNwr
— Onchain Lens (@OnchainLens) 2026年4月13日
クロスチェーン橋はブロックチェーンアーキテクチャの中で最も脆弱な部分であり、トークンコントラクトの管理権限を握っているため、一度検証メカニズムに穴が開くと、ハッカーは無限にトークンを鋳造する権利を容易に得ることができる。 攻撃手法:偽造メッセージ、管理権の奪取、無限鋳造 オンチェーンの追跡によると、ハッカーはdispatchIncomingを通じて偽造されたメッセージを提出し、それをTokenGateway.onAcceptに成功裏に導いた。元々システムは、Polkadotチェーン上の状態に基づいてこのメッセージの真偽を確認すべきだったが、検証機構は約束値を「ゼロ」に記録しており、これは検証手続きが完全に回避されたか、そもそも存在しなかったことを意味する。その結果、システムはこの偽のメッセージを正当な指示と誤認した。 受け入れられたメッセージは直ちに、橋渡しされているPolkadotトークンコントラクトのchangeAdmin機能を実行し、管理者権限を攻撃者のアドレスに移譲した。管理権を取得した攻撃者は、一度の取引で10億枚のDOTを鋳造し、Odos Router V3を通じてこれらのトークンをUniswap V4のDOT-ETHプールに投入、わずかに異なる価格で複数回交換した後、最終的に約108.2 ETHを引き出した。 「流動性不足」が逆に防護壁に 金融市場では、「流動性不足」は一般的に大口投資家にとって最も頭を悩ませる問題だが、皮肉なことに、今回の流動性不足は逆に無形の防護壁となり、ハッカーの利益獲得を大きく制限した。 イーサリアム上のDOTの流動性は非常に乏しく、これだけの10億枚のトークンを吸収できる余裕は全くなかったため、ハッカーが急いで売りに出した場合、価格は大きく崩れ、1トークンあたりの実質価格は1セント未満にまで下落した。 もし、より深い流動性や高い価値を持つ橋渡し資産で同じ脆弱性があった場合、損失は数十倍に膨らむ可能性がある。執筆時点で、DOTの取引価格は約1.17ドルであり、過去24時間で5%下落している。 この事件は再び示している:ハッカーが「無限鋳造権」を握っていても、最終的にアービトラージに成功できるかどうかは、市場の流動性と取引の深さに依存していることを。著名なブロックチェーンセキュリティ機関CertiKは、この攻撃を確認し、ハッカーは橋渡しトークンの鋳造と売却を通じて約23.7万ドルの利益を得たと発表した。 現時点では、Hyperbridgeの公式はこのハッカー事件について公式コメントを出していない。
#CertiKInsight 🚨
私たちは@hyperbridgeゲートウェイコントラクトの脆弱性を確認した。https://t.co/h27iDm1JGd
攻撃者は偽造メッセージを通じてイーサリアム上のポルカドットトークンコントラクトの管理者を変更し、1Bトークンの鋳造と売却で約$237K の利益を得た。
続けて… pic.twitter.com/3t2n4uq5hy
— CertiK Alert (@CertiKAlert) 2026年4月13日
293.11K 人気度
851.08K 人気度
161.05K 人気度
30.57K 人気度
870.11K 人気度
最ひどい強盗事件?ハッカーが10億ドルの$DOTを鋳造、「この理由」でわずか23万ドルしか盗めなかった
暗号通貨攻撃事件は次々と起こっているが、こうした「大きなリスクを冒して小さな利益を得る」ケースはあまり見られない。今日(13日)早朝、ハッカーはHyperbridgeのクロスチェーン橋の脆弱性を突き、イーサリアム上で空から10億枚のポルカドット(DOT)トークンを鋳造し、その名目価値は11.9億ドルに達した。しかし、これらのトークンを売却しようとした際、流動性不足により、最終的に約23.7万ドルのイーサ(ETH)に換金したに過ぎない。 明確にしておくと、ハッカーの攻撃対象は「クロスチェーン橋のスマートコントラクト」であり、ポルカドットメインネット上のネイティブDOTトークンには影響がなかった。この脆弱性の主な原因は、HyperbridgeのEthereumHostコントラクトが、クロスチェーンメッセージをTokenGatewayに渡す前に、その真偽を正しく検証できていなかったことにある。
Bridged $DOT (@Polkadot)は@ethereum上で悪用された。
コントロール権が攻撃者のコントラクトに切り替えられ、次いで10億$DOT が鋳造され、即座に売却された。価格は1.22ドルからごくわずかな分数に暴落した。https://t.co/ECDT0RaHE9 pic.twitter.com/WUwxjtsNwr
— Onchain Lens (@OnchainLens) 2026年4月13日
クロスチェーン橋はブロックチェーンアーキテクチャの中で最も脆弱な部分であり、トークンコントラクトの管理権限を握っているため、一度検証メカニズムに穴が開くと、ハッカーは無限にトークンを鋳造する権利を容易に得ることができる。 攻撃手法:偽造メッセージ、管理権の奪取、無限鋳造 オンチェーンの追跡によると、ハッカーはdispatchIncomingを通じて偽造されたメッセージを提出し、それをTokenGateway.onAcceptに成功裏に導いた。元々システムは、Polkadotチェーン上の状態に基づいてこのメッセージの真偽を確認すべきだったが、検証機構は約束値を「ゼロ」に記録しており、これは検証手続きが完全に回避されたか、そもそも存在しなかったことを意味する。その結果、システムはこの偽のメッセージを正当な指示と誤認した。 受け入れられたメッセージは直ちに、橋渡しされているPolkadotトークンコントラクトのchangeAdmin機能を実行し、管理者権限を攻撃者のアドレスに移譲した。管理権を取得した攻撃者は、一度の取引で10億枚のDOTを鋳造し、Odos Router V3を通じてこれらのトークンをUniswap V4のDOT-ETHプールに投入、わずかに異なる価格で複数回交換した後、最終的に約108.2 ETHを引き出した。 「流動性不足」が逆に防護壁に 金融市場では、「流動性不足」は一般的に大口投資家にとって最も頭を悩ませる問題だが、皮肉なことに、今回の流動性不足は逆に無形の防護壁となり、ハッカーの利益獲得を大きく制限した。 イーサリアム上のDOTの流動性は非常に乏しく、これだけの10億枚のトークンを吸収できる余裕は全くなかったため、ハッカーが急いで売りに出した場合、価格は大きく崩れ、1トークンあたりの実質価格は1セント未満にまで下落した。 もし、より深い流動性や高い価値を持つ橋渡し資産で同じ脆弱性があった場合、損失は数十倍に膨らむ可能性がある。執筆時点で、DOTの取引価格は約1.17ドルであり、過去24時間で5%下落している。 この事件は再び示している:ハッカーが「無限鋳造権」を握っていても、最終的にアービトラージに成功できるかどうかは、市場の流動性と取引の深さに依存していることを。著名なブロックチェーンセキュリティ機関CertiKは、この攻撃を確認し、ハッカーは橋渡しトークンの鋳造と売却を通じて約23.7万ドルの利益を得たと発表した。 現時点では、Hyperbridgeの公式はこのハッカー事件について公式コメントを出していない。
#CertiKInsight 🚨
私たちは@hyperbridgeゲートウェイコントラクトの脆弱性を確認した。https://t.co/h27iDm1JGd
攻撃者は偽造メッセージを通じてイーサリアム上のポルカドットトークンコントラクトの管理者を変更し、1Bトークンの鋳造と売却で約$237K の利益を得た。
続けて… pic.twitter.com/3t2n4uq5hy
— CertiK Alert (@CertiKAlert) 2026年4月13日