ブロックチェーンセキュリティ企業のサートゥイック(CertiK)は13日、クロスチェーン相互運用プロトコル「ハイパーブリッジ(Hyperbridge)」のゲートウェイコントラクトで不正利用が発生したと報告した。
攻撃者は偽造メッセージを悪用してイーサリアム( ETH )上のポルカドット(Polkadot)トークンコントラクトの管理者権限を乗っ取り、10億枚のDOTトークンを発行・売却して約23万7,000ドル(約3,500万円)の利益を得た。
攻撃者は脆弱性のあるHandlerV1コントラクトに偽の状態証明(ステートプルーフ)を送信し、検証プロセスを回避した。これにより「ChangeAssetAdmin」アクションがTokenGatewayのonAccept()関数経由で実行され、DOTトークンコントラクトの管理者・発行権限が攻撃者へ移譲された。
今回の攻撃が対象としたのは、ポルカドットのネイティブリレーチェーンやネイティブDOTトークンではなく、イーサリアム上のブリッジ版(ラップ版)DOTトークンのみ。
攻撃発覚後、DOT価格は約4.8%下落し1.16ドル近辺まで値を下げた。発行された10億枚は、イーサリアム上に存在していたERC-20版DOTの総供給量(約35万6,000枚)の約2,805倍に相当する。
ハイパーブリッジはポリトープ・ラボ(Polytope Labs)が開発したクロスチェーン相互運用プロトコルで、マルチシグ方式ではなく暗号学的証明に基づくトラストレスな検証を特徴とする。
過去のブリッジハックへの耐性を強調してきたが、今回の事件はクロスチェーンメッセージングにおける証明検証とゲートウェイの管理権限設計における課題を改めて浮き彫りにした。
日本国内でもDOTを取り扱う複数の取引所での動向が注目される。
