暗号資産の購入
先物10億DOTが無から生み出されたが、ハッカーの収入はわずか23万ドルだった。
著者:周、チェーンキャッチャー
4月13日午前10時(北京時間)、オンチェーン監視プラットフォームは、Polkadotからイーサリアムネットワーク上でブリッジ資産の異常な発行があったことを警告した。
CertiKの分析によると、攻撃者はHyperbridgeのISMPプロトコルを介して、イーサリアム側のHandlerV1コントラクトに、綿密に作成されたクロスチェーンリクエストと、過去に認められた本物のMMR証明を送信し、検証メカニズムをうまく回避した。
BlockSec Phalconはその後、この脆弱性をMMR(マッチメイキングレーティング)対策済みのリプレイ脆弱性として分類する技術警告を発出した。彼らの分析によると、この脆弱性の根本原因は、HandlerV1コントラクトのリプレイ攻撃対策が、特定の要求のハッシュが以前に使用されたことがあるかどうかのみを検証し、証明検証プロセスが送信された要求ペイロードを検証済みの証明に結び付けていない点にある。
この論理的なギャップにより、攻撃者は過去に有効な証明を再生し、新たに構築された悪意のあるリクエストと組み合わせることができ、TokenGateway.onAccept() パスを介して ChangeAssetAdmin 操作を実行し、ラップされた DOT コントラクトの Ethereum (アドレス:0x8d...8F90b8) を攻撃者が制御するアドレスに転送します。
オンチェーンデータによると、攻撃者は発行権を取得した後、10億個のブリッジドDOTを発行した。これは、当時イーサリアム上で流通していた同トークンの約35万6000個の約2805倍に相当する。
その後、攻撃者はOdos RouterとUniswap V4流動性プールを通じてすべてのチップを約108.2 ETHと交換し、それを攻撃者の外部アカウントに送金しました。これにより、当時の価格に基づくと約237,000ドルの利益が得られ、攻撃全体で消費されたガス料金はわずか約0.74ドルでした。
BlockSec Phalconはまた、以前にも同じ手法を用いた攻撃があり、MANTAトークンとCEREトークンが標的となり、約1万2000ドルの損失が発生したと述べた。両攻撃による被害総額は約24万2000ドルに上る。
この事件を受けて、韓国の大手取引所であるUpbitとBithumbは、偽の入金リスクを防ぐため、DOTおよびAssetHub Polkadotネットワークの入出金サービスを一時停止すると発表した。
Polkadotの関係者は、この脆弱性はHyperbridgeを介してイーサリアムにブリッジされたDOTのみに影響し、Polkadotエコシステム内のDOT資産や、他のクロスチェーンブリッジを介して転送されたDOTには影響しないと述べています。Polkadotとそのパラチェーン、そしてネイティブDOTは、引き続き安全であり、影響を受けていません。現在、Hyperbridgeは問題調査のため一時停止されています。
特筆すべきは、鋳造規模が10億枚に達したにもかかわらず、実際の損失は理論上の数値よりもはるかに少なかったということである。イーサリアム上のラップドDOTのオンチェーン流動性が極めて限られているため、10億トークンの集中的な売り浴びせにより、ラップドDOTの価格は瞬時に1.22ドルから0.00012831ドルまで暴落し、99.98%の下落となり、ほとんどのトークンは清算に効果がなくなりました。
CoinMarketCapのデータによると、ネイティブトークンであるDOTの価格も、市場心理の影響で一時的に5%近く下落した。
Xのユーザーたちは、かつてイーサリアムと肩を並べていたクロスチェーン神話であるDOTが、ソーシャルメディア上でこのような形で爆発的に広まるとは誰が想像しただろうかと率直に述べている。クロスチェーンブリッジは再び仮想通貨世界の「アキレス腱」となり、これまで軽視されてきた分野から、破壊的な状況へと変貌を遂げた。10億DOTが突如出現した時、あらゆるテクニカル指標は無意味になった。
一部のユーザーは、流動性の低さが今回はポルカドットを救い、実際の損失を約23万7000ドルに抑えたと冗談交じりにコメントした。
しかし、ブリッジされた資産の流動性が低いことは、ハッカーの利益を制限する一方で、クロスチェーン相互運用性レイヤーの潜在的な脆弱性を露呈させた。
Polytope Labsが開発したHyperbridgeは、Polkadotエコシステム内のクロスチェーン相互運用性プロジェクトであり、その主要なセキュリティメカニズムとして、マルチシグネチャ委員会ではなく暗号学的証明に長年依存しており、信頼を最小限に抑えたクロスチェーンインフラストラクチャとしての地位を確立していると報じられている。このプロジェクトは以前から、一般的な橋梁攻撃に対する耐性を強調していた。
しかし、今回の事件は、暗号学的証明メカニズムの完全性だけではセキュリティを確保するには不十分であり、イーサリアム側のゲートウェイコントラクトの具体的な実装ロジックも攻撃対象となり得ることを示唆している可能性がある。
より広い視点で見ると、この事件は2026年以降DeFiで続いている深刻なセキュリティ状況を反映している。今年に入ってから、いくつかの重大な攻撃が発生している。例えば、Venusは価格操作によって215万ドルの不良債権を生み出し、Resolveは8000万USRを過剰発行し、Driftは2億8500万ドル以上の資産をハッキングされた。攻撃方法は様々で、影響を受けた領域も広範囲に及んでいる。
無制限の発行を可能にするために造幣権を奪取することは、新しい攻撃手法ではない。しかし、ハイパーブリッジの流動性が極めて低かったため、損失は予想外に最小限に抑えられた。
CertiKのデータによると、3月だけで46件のセキュリティインシデントが記録され、総損失額は約3980万ドルに達し、2024年11月以来の月間最高記録となった。CertiKはまた、コードの脆弱性を悪用する頻度が増加していることを指摘しており、これはAIを活用した脆弱性発見ツールの台頭と関連している可能性があるとしている。
攻撃頻度の増加は、業界にセキュリティと規制の境界線を再検討させるきっかけにもなっている。Circleの最高戦略責任者であるダンテ・ディスパルテ氏は以前、Drift Protocolの盗難事件を受けて、プロトコル、ウォレット、取引所、ステーブルコイン発行者に対し、セキュリティと説明責任を共通の義務と捉えるよう呼びかけ、DeFiプロトコルは、従来の市場サーキットブレーカー機構を参照したオンチェーンの技術的保護措置を開発し、次の重大な事件が発生する前に、財産権と金融プライバシー保護基準を法律に組み込むための関連法制を推進すべきだと示唆した。
関連記事
わずか数日で急騰した「ミームコイン」を見つけた。何かアドバイスはありますか?
TAOはOpenAIに投資したElon Muskであり、SubnetはSam Altmanです。
パブリックチェーンにおける「大量のコイン配布」の時代は終わりを告げる
Muskの「Western WeChat」Xチャットを使用する前に、この3つの質問を理解する必要があります
X Chatは今週金曜日にApp Storeでダウンロード可能になります。メディアはすでに機能リストを取り上げ、自滅メッセージ、スクリーンショット防止、481人グループチャット、Grok統合、電話番号なしの登録など 、 「 西側のWeChat」と位置づけている。しかし、どの報告でもほとんど取り上げられていない疑問が3つある。
Xの公式ヘルプにまだかかっている一文があります:「悪意のある内部関係者やX自身が、法的な手続きによって暗号化された会話が暴露された場合、送信者と受信者の双方にまったく気付かれない」
いいえ。違いは鍵の保存場所にあります。
Signalのエンドツーエンド暗号化では、鍵がデバイスから離れることはありません。X、裁判所、または外部のいかなる当事者もあなたの鍵を保持しません。シグナルのサーバーは あなたのメッセージを解読するものがない たとえ召喚されたとしても 過去の召喚記録から 証明されるように 登録タイムスタンプと 最後の接続時間しか提供できない
X ChatはJuiceboxプロトコルを使用している。このソリューションでは、キーを3つの部分に分け、それぞれXが運営する3つのサーバーに格納します。PINコードでキーを回復する際に、システムはXのサーバーからこの3つのシャードを取り出して再結合します。どんなに複雑な暗証番号であっても、Xはユーザーではなく鍵の実際の保管者です。
これが「ヘルプページの文章」の技術的背景である:鍵はXのサーバー上にあるため、Xはユーザーが意識することなく法的手続きに対応する能力を持っている。Signalにはこの機能はありません。ポリシーが原因ではなく、単にキーがないためです。
次の図は、Signal、WhatsApp、Telegram、X Chatのセキュリティメカニズムを6つの次元で比較したものです。Xチャットは、プラットフォームが鍵を保持している4つの唯一のものであり、Forward Secrecyがない唯一のものである。
Forward Secrecy の意義は、ある時点で鍵が漏洩したとしても、各メッセージは一意の鍵を持っているため、過去のメッセージを解読できないという点である。SignalのDouble Ratchetプロトコルは、X Chatに欠けているメカニズムで、メッセージごとにキーを自動的に更新します。
2025年6月にXChatアーキテクチャを分析した後、ジョンズ・ホプキンス大学の暗号学教授マシュー・グリーンは「XChatをエンドツーエンドの暗号化スキームとして判断した場合、これはかなりゲームオーバータイプの脆弱性のように思える」とコメントしている。彼は後に「現在の暗号化されていないDMを信用するのと同様に、私はこれを信用しない」と付け加えた。
2025年9月のTechCrunchのレポートから、2026年4月に運用を開始するまで、このアーキテクチャに変更はありませんでした。
Musk氏は2026年2月9日のツイートで、X Chatのローンチ前にX Chatの厳格なセキュリティテストを受け、すべてのコードをオープンソース化すると約束した。
4月17日のローンチ日時点では、独立した第三者監査は完了しておらず、GitHub上に公式コードリポジトリも存在せず、App Storeのプライバシーラベルでは、X Chatが位置情報、連絡先情報、検索履歴を含む5つ以上のカテゴリーのデータを収集していることが明らかになっており 、 「 広告なし、トラッカーなし」というマーケティング上の主張と真っ向から矛盾しています。
継続的な監視ではなく、明確なアクセスポイント。
Xチャットのすべてのメッセージについて、ユーザーは長押しして「グロクに尋ねる」を選択できます。このボタンをクリックすると、メッセージはプレーンテキストで Grok に配信され、この段階で暗号化された状態から暗号化されていない状態に移行します。
この設計は脆弱性ではなく特徴である。ただし、X Chatのプライバシーポリシーには、このプレーンテキストデータがGrokのモデルトレーニングに使用されるのか、Grokがこの会話コンテンツを保存するのかは記載されていません。「グロクに尋ねる」を積極的にクリックすることで、ユーザーはそのメッセージの暗号化保護を自発的に解除している。
構造的な問題もあります。このボタンは「オプション機能」から「既定の習慣」にどれだけ早く移行しますか?Grok の返信の品質が高いほど、ユーザがそれに依存する頻度が高くなり、暗号化保護から流出するメッセージの割合が増加する。X Chatの実際の暗号化強度は、長期的にはJuiceboxプロトコルの設計だけでなく、ユーザーが「Ask Grok」をクリックする頻度にも依存する。
X Chatの初期リリースはiOSのみをサポートしており、Android版はタイムラインなしで「近日公開」と表示されるだけです。
世界のスマートフォン市場では、Androidが約73 % 、 iOSが約27%のシェアを占めている(IDC/Statista、2025年 ) 。WhatsAppの月間アクティブユーザー数31億4000万人のうち、73%がAndroidを利用している(Demand Sage調べ ) 。インドでは、WhatsAppは8億5400万人のユーザーをカバーし、Androidの普及率は95%を超えています。ブラジルでは1億4800万人のユーザーがおり、そのうち81%がAndroid、インドネシアでは1億1200万人のユーザーがおり、87%がAndroidを利用している。
世界の通信市場におけるWhatsAppの優位性は、Android上に構築されています。Signalは月間アクティブユーザー数が約8500万人で、Androidが優勢な国のプライバシー意識の高いユーザーにも主に依存しています。
Xチャットはこの戦場を回避し、2つの解釈が可能であった。1つは技術的な負債で、X ChatはRustで構築されており、クロスプラットフォーム対応の実現は容易ではないため、iOSを優先することがエンジニアリング上の制約になる可能性がある。もう1つは戦略的な選択です。iOSが米国で55%近いシェアを占めている中、Xのコアユーザーベースは米国です。iOSを優先するということは、Androidが支配する新興市場やWhatsAppと直接競争するのではなく、コアユーザーベースに集中することを意味します。
この2つの解釈は互いに排他的ではなく、同じ結果をもたらします。X Chatのデビューは、世界のスマートフォンユーザーベースの73%を喜んで没収した。
この問題については、次のような意見も聞かれます。X Chatは、X Money、Grokとともに、既存のインフラに平行してクローズドループ型のデータシステムを作る3連綿を形成し、WeChatエコシステムとコンセプトが似ている。この評価は新しいものではありませんが、X Chatの提供開始により、回路図を見直す価値があります。
X Chatは、誰が誰とどのくらいの時間、どのくらいの頻度で話しているかなどの情報を含むコミュニケーションメタデータを生成します。このデータはXのIDシステムに流れ込んでくる。メッセージコンテンツの一部は Ask Grok 機能を通過し、Grok の処理チェーンに入ります。金融取引はX Moneyで処理され、3月に外部公開テストが完了し、4月に一般公開され、Visa Direct経由で法定ピアツーピアの送金が可能となった。Fireblocksの幹部は、現在米国の40以上の州で送金ライセンスを保持しており、年末までに暗号通貨決済を稼働させる計画を確認した。
WeChatの機能はどれも中国の規制の枠組みの中で動いています。マスク氏のシステムは欧米の規制の枠組みの中で運営されているが、政府効率局(DOGE)の長官も務めている。これは微信のレプリカではありません 同じ論理を異なる政治的条件下で再現したのです
違いは、WeChatがメインインターフェイスで「エンドツーエンド暗号化」を明示的に主張したことがないのに対し、X Chatはそう主張している点だ。ユーザーの認識における「エンドツーエンド暗号化」とは、プラットフォームさえ誰もあなたのメッセージを見ることができないことを意味します。X Chatのアーキテクチャ設計はこのユーザーの期待に沿わないが、この用語を使用している。
X Chatは 、 「 この人は誰で、誰と話していて、そのお金はどこから来て、どこへ行くのか」という3つのデータラインを1つの企業の手に集約する。
ヘルプページの文章は、技術的な指示だけを示したものではありません。
50倍の急騰、FDVが100億USDを超える中で、なぜRaveDAOなのか?
エッジ・ランド・リグレス:海洋勢力、エネルギー、そしてドルをめぐる再考
ホルムズ海峡封鎖後、戦争はいつ終結するのか?
ノイズの新しく立ち上げられたベータ版を解析するには、どのようにしてこの熱を「オンチェーン」にするのか?
ロブスターは過去のものか?あなたのスループットを100倍にするヘルメス・エージェント・ツールを解剖する
AIに対して宣戦布告する?ウルトラマンの炎の中の居住に関する終末論的な物語
暗号資産ベンチャーキャピタルは終わったのか?市場の消滅サイクルが始まった
図解で見るクロードの愚かへの道:倹約の代償、あるいはAPIの請求額が100倍になった経緯
アーサー・ヘイズ最新インタビュー:個人投資家はイラン紛争をどうナビゲートすべきか
つい先ほど、サム・アルトマンが再び襲撃され、今度は銃撃された。
海峡封鎖、ステーブルコインのまとめ | リワイヤ・ニュース・モーニング・エディション
「高い期待から物議を醸す方針転換へ――『Genius』のエアードロップがコミュニティの反発を招く」
北京の大興区にある小米の電気自動車工場は、アメリカのエリートたちにとって新たなエルサレムとなった
リーンハーネス、ファットスキル:100倍のAI生産性の真の源
わずか数日で急騰した「ミームコイン」を見つけた。何かアドバイスはありますか?
TAOはOpenAIに投資したElon Muskであり、SubnetはSam Altmanです。
パブリックチェーンにおける「大量のコイン配布」の時代は終わりを告げる
Muskの「Western WeChat」Xチャットを使用する前に、この3つの質問を理解する必要があります
X Chatは今週金曜日にApp Storeでダウンロード可能になります。メディアはすでに機能リストを取り上げ、自滅メッセージ、スクリーンショット防止、481人グループチャット、Grok統合、電話番号なしの登録など 、 「 西側のWeChat」と位置づけている。しかし、どの報告でもほとんど取り上げられていない疑問が3つある。
Xの公式ヘルプにまだかかっている一文があります:「悪意のある内部関係者やX自身が、法的な手続きによって暗号化された会話が暴露された場合、送信者と受信者の双方にまったく気付かれない」
いいえ。違いは鍵の保存場所にあります。
Signalのエンドツーエンド暗号化では、鍵がデバイスから離れることはありません。X、裁判所、または外部のいかなる当事者もあなたの鍵を保持しません。シグナルのサーバーは あなたのメッセージを解読するものがない たとえ召喚されたとしても 過去の召喚記録から 証明されるように 登録タイムスタンプと 最後の接続時間しか提供できない
X ChatはJuiceboxプロトコルを使用している。このソリューションでは、キーを3つの部分に分け、それぞれXが運営する3つのサーバーに格納します。PINコードでキーを回復する際に、システムはXのサーバーからこの3つのシャードを取り出して再結合します。どんなに複雑な暗証番号であっても、Xはユーザーではなく鍵の実際の保管者です。
これが「ヘルプページの文章」の技術的背景である:鍵はXのサーバー上にあるため、Xはユーザーが意識することなく法的手続きに対応する能力を持っている。Signalにはこの機能はありません。ポリシーが原因ではなく、単にキーがないためです。
次の図は、Signal、WhatsApp、Telegram、X Chatのセキュリティメカニズムを6つの次元で比較したものです。Xチャットは、プラットフォームが鍵を保持している4つの唯一のものであり、Forward Secrecyがない唯一のものである。
Forward Secrecy の意義は、ある時点で鍵が漏洩したとしても、各メッセージは一意の鍵を持っているため、過去のメッセージを解読できないという点である。SignalのDouble Ratchetプロトコルは、X Chatに欠けているメカニズムで、メッセージごとにキーを自動的に更新します。
2025年6月にXChatアーキテクチャを分析した後、ジョンズ・ホプキンス大学の暗号学教授マシュー・グリーンは「XChatをエンドツーエンドの暗号化スキームとして判断した場合、これはかなりゲームオーバータイプの脆弱性のように思える」とコメントしている。彼は後に「現在の暗号化されていないDMを信用するのと同様に、私はこれを信用しない」と付け加えた。
2025年9月のTechCrunchのレポートから、2026年4月に運用を開始するまで、このアーキテクチャに変更はありませんでした。
Musk氏は2026年2月9日のツイートで、X Chatのローンチ前にX Chatの厳格なセキュリティテストを受け、すべてのコードをオープンソース化すると約束した。
4月17日のローンチ日時点では、独立した第三者監査は完了しておらず、GitHub上に公式コードリポジトリも存在せず、App Storeのプライバシーラベルでは、X Chatが位置情報、連絡先情報、検索履歴を含む5つ以上のカテゴリーのデータを収集していることが明らかになっており 、 「 広告なし、トラッカーなし」というマーケティング上の主張と真っ向から矛盾しています。
継続的な監視ではなく、明確なアクセスポイント。
Xチャットのすべてのメッセージについて、ユーザーは長押しして「グロクに尋ねる」を選択できます。このボタンをクリックすると、メッセージはプレーンテキストで Grok に配信され、この段階で暗号化された状態から暗号化されていない状態に移行します。
この設計は脆弱性ではなく特徴である。ただし、X Chatのプライバシーポリシーには、このプレーンテキストデータがGrokのモデルトレーニングに使用されるのか、Grokがこの会話コンテンツを保存するのかは記載されていません。「グロクに尋ねる」を積極的にクリックすることで、ユーザーはそのメッセージの暗号化保護を自発的に解除している。
構造的な問題もあります。このボタンは「オプション機能」から「既定の習慣」にどれだけ早く移行しますか?Grok の返信の品質が高いほど、ユーザがそれに依存する頻度が高くなり、暗号化保護から流出するメッセージの割合が増加する。X Chatの実際の暗号化強度は、長期的にはJuiceboxプロトコルの設計だけでなく、ユーザーが「Ask Grok」をクリックする頻度にも依存する。
X Chatの初期リリースはiOSのみをサポートしており、Android版はタイムラインなしで「近日公開」と表示されるだけです。
世界のスマートフォン市場では、Androidが約73 % 、 iOSが約27%のシェアを占めている(IDC/Statista、2025年 ) 。WhatsAppの月間アクティブユーザー数31億4000万人のうち、73%がAndroidを利用している(Demand Sage調べ ) 。インドでは、WhatsAppは8億5400万人のユーザーをカバーし、Androidの普及率は95%を超えています。ブラジルでは1億4800万人のユーザーがおり、そのうち81%がAndroid、インドネシアでは1億1200万人のユーザーがおり、87%がAndroidを利用している。
世界の通信市場におけるWhatsAppの優位性は、Android上に構築されています。Signalは月間アクティブユーザー数が約8500万人で、Androidが優勢な国のプライバシー意識の高いユーザーにも主に依存しています。
Xチャットはこの戦場を回避し、2つの解釈が可能であった。1つは技術的な負債で、X ChatはRustで構築されており、クロスプラットフォーム対応の実現は容易ではないため、iOSを優先することがエンジニアリング上の制約になる可能性がある。もう1つは戦略的な選択です。iOSが米国で55%近いシェアを占めている中、Xのコアユーザーベースは米国です。iOSを優先するということは、Androidが支配する新興市場やWhatsAppと直接競争するのではなく、コアユーザーベースに集中することを意味します。
この2つの解釈は互いに排他的ではなく、同じ結果をもたらします。X Chatのデビューは、世界のスマートフォンユーザーベースの73%を喜んで没収した。
この問題については、次のような意見も聞かれます。X Chatは、X Money、Grokとともに、既存のインフラに平行してクローズドループ型のデータシステムを作る3連綿を形成し、WeChatエコシステムとコンセプトが似ている。この評価は新しいものではありませんが、X Chatの提供開始により、回路図を見直す価値があります。
X Chatは、誰が誰とどのくらいの時間、どのくらいの頻度で話しているかなどの情報を含むコミュニケーションメタデータを生成します。このデータはXのIDシステムに流れ込んでくる。メッセージコンテンツの一部は Ask Grok 機能を通過し、Grok の処理チェーンに入ります。金融取引はX Moneyで処理され、3月に外部公開テストが完了し、4月に一般公開され、Visa Direct経由で法定ピアツーピアの送金が可能となった。Fireblocksの幹部は、現在米国の40以上の州で送金ライセンスを保持しており、年末までに暗号通貨決済を稼働させる計画を確認した。
WeChatの機能はどれも中国の規制の枠組みの中で動いています。マスク氏のシステムは欧米の規制の枠組みの中で運営されているが、政府効率局(DOGE)の長官も務めている。これは微信のレプリカではありません 同じ論理を異なる政治的条件下で再現したのです
違いは、WeChatがメインインターフェイスで「エンドツーエンド暗号化」を明示的に主張したことがないのに対し、X Chatはそう主張している点だ。ユーザーの認識における「エンドツーエンド暗号化」とは、プラットフォームさえ誰もあなたのメッセージを見ることができないことを意味します。X Chatのアーキテクチャ設計はこのユーザーの期待に沿わないが、この用語を使用している。
X Chatは 、 「 この人は誰で、誰と話していて、そのお金はどこから来て、どこへ行くのか」という3つのデータラインを1つの企業の手に集約する。
ヘルプページの文章は、技術的な指示だけを示したものではありません。
App