ポルカドット・ブリッジの不正利用がイーサリアム上で10億DOTトークンをミント

ポルカドットとイーサリアムを接続するハイパーブリッジのクロスチェーンゲートウェイに、2026年4月13日に重大なセキュリティ不具合が発覚しました。セキュリティ企業CertiKによれば、攻撃者はMerkle Mountain Range証明の検証におけるリプレイ脆弱性を悪用し、イーサリアム上のブリッジドDOTコントラクトに対して不正な管理者権限アクセスを可能にしました。攻撃者は10億枚の偽DOTトークンを鋳造し、単一のスワップ取引を実行して全供給を約108.2 ETH（約237,000ドル）へ転換しましたが、流動性の制約により追加売却は不可能となりました。ブリッジ済みDOTの価格は約1.22ドルから影響を受けたプールで分数セント未満へ急落し、主要取引所でのDOT価格は5％下落した後、部分的に回復しました。

オンチェーンデータによれば、偽造された状態コミットメント証明がtokengateway.handleChangeAdmin関数の認証チェックを回避した約05:05 UTCの時点でこの脆弱性が発生しました。この欠陥により攻撃者はイーサリアム上のERC-20ラップDOTコントラクトの管理者ロールを引き受け、無制限のトークン供給を生成できました。大量の鋳造にもかかわらず、分散型取引所の浅い流動性により攻撃者の利益は25万ドル未満にとどまりました。ポルカドットのメインリレーチェーンは安全で、ネイティブDOTトークンは侵害の影響を受けませんでした。開発者と監査人は現在、厳格な管理者ロールチェックを適用し、リプレイ脆弱性を解消するパッチを優先しています。

CoinGeckoなどの主要なオンチェーン分析プラットフォームは、被害直後の数分でDOTの価格が1.23ドルから1.17ドルまで下落し、その後およそ1.19ドルで安定したと記録しています。Hyperbridgeの開発者はCertiKおよびブロックチェーンセキュリティの専門家と協力して、完全なポストモーテムを実施し、ゲートウェイコントラクトを修正し、追加のガバナンス保護措置を実装することを誓約しています。ポルカドットコミュニティは最近の供給上限ガバナンス策も見直しており、暗号証明に依存するクロスチェーンソリューションにおける包括的なセキュリティ監査の必要性を強調しています。この事件は、ブリッジの脆弱性リスクが依然として存在することと、スマートコントラクト開発における厳密な形式検証の重要性を浮き彫りにしています。