ハイパーブリッジで約4億円相当の不正流出、初期報告から被害額が約10倍に拡大

補償計画も発表

クロスチェーンブリッジプロトコルのハイパーブリッジ（Hyperbridge）は16日、4月13日に発生したトークンゲートウェイ（Token Gateway）へのハッキング被害額を、当初の約23万7,000ドル（約3,770万円）から約250万ドル（約4億円）へと上方修正した。 被害は当初イーサリアム（ETH）上のみとみられていたが、その後の調査でマルチチェーンへの拡大が判明した。

攻撃者はハイパーブリッジの証明検証コントラクトに存在した入力バリデーションの欠落を悪用し、4月13日午前3時55分（UTC）に単一のアトミックトランザクションで10億枚の裏付けなきDOTトークンをイーサリアム上でミントし、約245ETHを引き出した。

今回の被害額修正は、当初の計算に含まれていなかったイーサリアム・Base・BNBチェーン・アービトラム上のインセンティブプールの損失を反映したもので、攻撃は二段階に分けて実行されたとチームは説明している。

ハイパーブリッジは盗まれた資金の大部分をオンチェーン上で追跡し、バイナンスへの送金を確認した。現在、バイナンスのコンプライアンス部門および法執行機関と協力して回収作業を進めているが、同種の事案では資産回収に数か月から最長1年程度かかる見通しも示している。

回収が不十分に終わった場合に備え、ハイパーブリッジはネイティブトークンのBRIDGEを用いた残余損失の補填を約束しており、エクスプロイト発生から1年後の2027年4月13日を目処に補償の構造的な配布を実施する計画だ。

またエンジニアチームは今回の悪用を招いた検証ロジックを対象としたパッチの最終調整を進めており、同種の脆弱性クラス全体に対処する修正を設計中だとしている。

クロスチェーンブリッジは、送金先チェーン上のトークンコントラクトに対して管理者レベルの権限を保持する構造上、単一の検証ミスが無制限のトークン発行を可能にするリスクを抱えており、業界における最も脆弱な構成要素として繰り返し問題視されてきた。

ハイパーブリッジはマルチシグを排したプルーフベースの設計を掲げていただけに、今回の事案はプロトコル実装レベルの検証体制を改めて問い直す契機となっている。