クロスチェーン金融の利便性の背後には、安全上の脆弱性がまるでタイマー爆弾のように潜んでおり、何度も類似した手口で爆発し、業界全体に深い反省を促している。2026年2月2日(北京時間)、Curve Financeの創始者Michael Egorovの後援を受けたクロスチェーン流動性プロトコルCrossCurve(旧称EYWA)の公式発表によると、そのクロスチェーンブリッジプロトコルはスマートコントラクトの脆弱性により攻撃を受けている。攻撃者は偽造されたクロスチェーンメッセージを用いて、重要なゲートウェイの検証を回避し、未承認のトークン解除を引き起こし、約300万ドルの資金が複数のチェーン上で盗まれた。## 事件概要:なぜ多重検証アーキテクチャは失敗したのか?2026年1月31日頃、ブロックチェーンセキュリティ機関Defimon Alertsは、CrossCurveのコアコントラクトPortalV2の残高が約300万ドルからほぼゼロに急落したことを監視した。CrossCurveは迅速にXプラットフォーム上で緊急公告を出し、「我々のブリッジネットワークは現在攻撃を受けており、攻撃者はあるスマートコントラクトの脆弱性を悪用しています。調査中は、CrossCurveとのすべてのやり取りを停止してください」と呼びかけた。皮肉なことに、CrossCurveはこれまで「コンセンサスブリッジ」の多重検証安全アーキテクチャを主要なセールスポイントとしてきた。このアーキテクチャはAxelar、LayerZero、自社のEYWAオラクルネットワークを統合し、多数の独立した検証源を通じてシングルポイント故障を排除することを目的としていた。プロジェクト側は「複数のクロスチェーンプロトコルが同時にハッカーに攻撃される確率はほぼゼロだ」と宣言していた。## 脆弱性分析:致命的な検証欠落の一例セキュリティ分析は、今回の攻撃の技術的本質を明らかにしている。脆弱性の根源は、一見単純な検証の欠落にあり、それだけで複雑な多重検証システム全体を突破できてしまう。### 攻撃経路攻撃の核心は、CrossCurveのReceiverAxelarコントラクトにあった。このコントラクトは、Axelarのクロスチェーンネットワークからのメッセージを受信し、対応する指示を実行する役割を担っている。通常、クロスチェーンメッセージを実行するには、Axelarネットワークのコンセンサス検証を通過しなければならない。しかし、このコントラクトのexpressExecute関数には致命的な欠陥があった。攻撃者はこの関数を直接呼び出し、偽造されたクロスチェーンメッセージのパラメータを渡すことができ、コントラクトはメッセージの真の出所を十分に検証しなかった。### 攻撃の流れ偽造された指示が受け入れられると、コントラクトは資産の管理を担うコアのPortalV2コントラクトにトークン解放の指示を送る。PortalV2コントラクトは、ReceiverAxelarからの指示を完全に信頼しているため、ロックされた各種資産を攻撃者指定のアドレスに忠実に解放する。この過程は繰り返し実行可能であり、コントラクト内の主要資産がすべて略奪されるまで続く。## 歴史の再演:4年未解決のセキュリティ傷跡この事件は、暗号セキュリティコミュニティに強い既視感をもたらした。セキュリティ専門家Taylor Monahanは、「4年も経ったのに、何も変わっていないなんて信じられない」と驚きを示した。彼女が指すのは、2022年8月に業界を震撼させたNomadのクロスチェーンブリッジ攻撃事件だ。当時、Nomadは類似の初期検証の脆弱性を突かれ、約1.9億ドルが盗まれた。さらに衝撃的だったのは、その脆弱性の利用方法が非常に簡単だったため、事件後には「資金奪取の狂乱」が巻き起こり、300以上のアドレスが攻撃手法を模倣して資金を窃取したことだ。NomadからCrossCurveまで、攻撃手法は本質的に高度に類似している:それは、クロスメッセージの出所という最も基本的な安全要素の検証不足に起因している。この繰り返される悲劇は、業界が急速に発展している一方で、根本的なスマートコントラクトの安全開発規範や監査基準が十分に徹底されていないことを鋭く指摘している。## 市場の連鎖反応:信頼喪失と価格変動このセキュリティ事件は、市場レベルで迅速に連鎖反応を引き起こした。今回の攻撃を受けたCrossCurveは、トップクラスのDeFiプロトコルであるCurve Financeと密接な関係にあり、後者の創始者の投資は前者の重要な信用の裏付けとなっていた。事件後、Curve Financeの公式はXプラットフォーム上で声明を出し、「自分の保有ポジションを再点検し、これらの投票を撤回することを検討してください」と呼びかけ、「第三者プロジェクト」とのやり取りには警戒を促した。この慎重な声明は、迅速に自らの立場を明確にし、評判への連鎖的なダメージを避ける狙いと解釈された。### 主流市場の反応Gateの相場データによると、2026年2月2日現在、ビットコイン(BTC)の価格は過去24時間で-2.51%、76,814ドルを記録した。同時に、イーサリアム(ETH)の価格は-7.42%、2,271.18ドルとなった。市場の変動は多くの要因によるものだが、主要なDeFiエコシステムの中核をなすプロトコルに重大なセキュリティ脆弱性が発覚したことで、市場のリスク回避ムードは一段と高まった。## 業界の反省:クロスチェーンブリッジの安全性の逆説CrossCurve事件は、「クロスチェーンブリッジは暗号世界で最も脆弱な部分である」という業界の共通認識を再び浮き彫りにした。Ronin(損失6.25億ドル)、Wormhole(損失3.25億ドル)など過去の事例も含め、この判断を裏付けている。クロスチェーンブリッジの安全性の逆説は、資産を異なるブロックチェーン間で自由に流動させるために、複数の独立した安全モデルを持つチェーン環境に信頼と検証のハブを構築しなければならない点にある。このハブ(スマートコントラクト)が論理的な欠陥を抱えた場合、資金プール全体の単一故障点となる。たとえCrossCurveのように多重外部検証を設計しても、そのコントラクトの実装に欠陥があれば、すべての外部防護は無意味となる。## 最新の進展とユーザーの対応継続的な資金流出と世論の圧力に直面し、CrossCurveのプロジェクト側は事件の公表後、危機対応策を講じた。公式の最新声明によると、プロジェクト側は72時間の資金返還期限を設定した。関係者に対し、誤送金された資金の返還協力を呼びかけ、「セーフハーバー責任開示ポリシー」に基づき、ホワイトハッカーには最大10%の資金を報奨として提供することを約束している。期限内に和解が成立しない場合、プロジェクト側は法的措置の開始や取引所、ステーブルコイン発行者との連携による資産追跡・凍結を含む対応策を強化するとしている。事件後24時間以内にビットコインは2.51%下落し、イーサリアムは7.42%の下落を記録した。市場は冷徹な数字で、コードの欠陥による信頼崩壊に応えている。CrossCurveチームが設定した72時間の「セーフハーバー」カウントダウンは刻々と進行中だ。ブロックチェーンブラウザの取引記録には、盗まれた資金が依然として攻撃者のアドレスに留まり、大規模な移動は見られない。この検証コードの一行の欠落から引き起こされた嵐は、最終的にホワイトハットによる和解で終わるのか、それとも長期にわたる国境を越えた資産追跡の攻防戦に発展するのか、その行方は未だ見えない。
CrossCurveのクロスチェーンブリッジがハッキングされ、300万ドルの損失を出す:スマートコントラクトの脆弱性が再び警鐘を鳴らす
クロスチェーン金融の利便性の背後には、安全上の脆弱性がまるでタイマー爆弾のように潜んでおり、何度も類似した手口で爆発し、業界全体に深い反省を促している。
2026年2月2日(北京時間)、Curve Financeの創始者Michael Egorovの後援を受けたクロスチェーン流動性プロトコルCrossCurve(旧称EYWA)の公式発表によると、そのクロスチェーンブリッジプロトコルはスマートコントラクトの脆弱性により攻撃を受けている。攻撃者は偽造されたクロスチェーンメッセージを用いて、重要なゲートウェイの検証を回避し、未承認のトークン解除を引き起こし、約300万ドルの資金が複数のチェーン上で盗まれた。
事件概要:なぜ多重検証アーキテクチャは失敗したのか?
2026年1月31日頃、ブロックチェーンセキュリティ機関Defimon Alertsは、CrossCurveのコアコントラクトPortalV2の残高が約300万ドルからほぼゼロに急落したことを監視した。CrossCurveは迅速にXプラットフォーム上で緊急公告を出し、「我々のブリッジネットワークは現在攻撃を受けており、攻撃者はあるスマートコントラクトの脆弱性を悪用しています。調査中は、CrossCurveとのすべてのやり取りを停止してください」と呼びかけた。
皮肉なことに、CrossCurveはこれまで「コンセンサスブリッジ」の多重検証安全アーキテクチャを主要なセールスポイントとしてきた。このアーキテクチャはAxelar、LayerZero、自社のEYWAオラクルネットワークを統合し、多数の独立した検証源を通じてシングルポイント故障を排除することを目的としていた。プロジェクト側は「複数のクロスチェーンプロトコルが同時にハッカーに攻撃される確率はほぼゼロだ」と宣言していた。
脆弱性分析:致命的な検証欠落の一例
セキュリティ分析は、今回の攻撃の技術的本質を明らかにしている。脆弱性の根源は、一見単純な検証の欠落にあり、それだけで複雑な多重検証システム全体を突破できてしまう。
攻撃経路
攻撃の核心は、CrossCurveのReceiverAxelarコントラクトにあった。このコントラクトは、Axelarのクロスチェーンネットワークからのメッセージを受信し、対応する指示を実行する役割を担っている。
通常、クロスチェーンメッセージを実行するには、Axelarネットワークのコンセンサス検証を通過しなければならない。しかし、このコントラクトのexpressExecute関数には致命的な欠陥があった。攻撃者はこの関数を直接呼び出し、偽造されたクロスチェーンメッセージのパラメータを渡すことができ、コントラクトはメッセージの真の出所を十分に検証しなかった。
攻撃の流れ
偽造された指示が受け入れられると、コントラクトは資産の管理を担うコアのPortalV2コントラクトにトークン解放の指示を送る。
PortalV2コントラクトは、ReceiverAxelarからの指示を完全に信頼しているため、ロックされた各種資産を攻撃者指定のアドレスに忠実に解放する。この過程は繰り返し実行可能であり、コントラクト内の主要資産がすべて略奪されるまで続く。
歴史の再演:4年未解決のセキュリティ傷跡
この事件は、暗号セキュリティコミュニティに強い既視感をもたらした。セキュリティ専門家Taylor Monahanは、「4年も経ったのに、何も変わっていないなんて信じられない」と驚きを示した。彼女が指すのは、2022年8月に業界を震撼させたNomadのクロスチェーンブリッジ攻撃事件だ。当時、Nomadは類似の初期検証の脆弱性を突かれ、約1.9億ドルが盗まれた。さらに衝撃的だったのは、その脆弱性の利用方法が非常に簡単だったため、事件後には「資金奪取の狂乱」が巻き起こり、300以上のアドレスが攻撃手法を模倣して資金を窃取したことだ。
NomadからCrossCurveまで、攻撃手法は本質的に高度に類似している:それは、クロスメッセージの出所という最も基本的な安全要素の検証不足に起因している。この繰り返される悲劇は、業界が急速に発展している一方で、根本的なスマートコントラクトの安全開発規範や監査基準が十分に徹底されていないことを鋭く指摘している。
市場の連鎖反応:信頼喪失と価格変動
このセキュリティ事件は、市場レベルで迅速に連鎖反応を引き起こした。今回の攻撃を受けたCrossCurveは、トップクラスのDeFiプロトコルであるCurve Financeと密接な関係にあり、後者の創始者の投資は前者の重要な信用の裏付けとなっていた。
事件後、Curve Financeの公式はXプラットフォーム上で声明を出し、「自分の保有ポジションを再点検し、これらの投票を撤回することを検討してください」と呼びかけ、「第三者プロジェクト」とのやり取りには警戒を促した。この慎重な声明は、迅速に自らの立場を明確にし、評判への連鎖的なダメージを避ける狙いと解釈された。
主流市場の反応
Gateの相場データによると、2026年2月2日現在、ビットコイン(BTC)の価格は過去24時間で-2.51%、76,814ドルを記録した。
同時に、イーサリアム(ETH)の価格は-7.42%、2,271.18ドルとなった。市場の変動は多くの要因によるものだが、主要なDeFiエコシステムの中核をなすプロトコルに重大なセキュリティ脆弱性が発覚したことで、市場のリスク回避ムードは一段と高まった。
業界の反省:クロスチェーンブリッジの安全性の逆説
CrossCurve事件は、「クロスチェーンブリッジは暗号世界で最も脆弱な部分である」という業界の共通認識を再び浮き彫りにした。Ronin(損失6.25億ドル)、Wormhole(損失3.25億ドル)など過去の事例も含め、この判断を裏付けている。
クロスチェーンブリッジの安全性の逆説は、資産を異なるブロックチェーン間で自由に流動させるために、複数の独立した安全モデルを持つチェーン環境に信頼と検証のハブを構築しなければならない点にある。このハブ(スマートコントラクト)が論理的な欠陥を抱えた場合、資金プール全体の単一故障点となる。たとえCrossCurveのように多重外部検証を設計しても、そのコントラクトの実装に欠陥があれば、すべての外部防護は無意味となる。
最新の進展とユーザーの対応
継続的な資金流出と世論の圧力に直面し、CrossCurveのプロジェクト側は事件の公表後、危機対応策を講じた。公式の最新声明によると、プロジェクト側は72時間の資金返還期限を設定した。関係者に対し、誤送金された資金の返還協力を呼びかけ、「セーフハーバー責任開示ポリシー」に基づき、ホワイトハッカーには最大10%の資金を報奨として提供することを約束している。
期限内に和解が成立しない場合、プロジェクト側は法的措置の開始や取引所、ステーブルコイン発行者との連携による資産追跡・凍結を含む対応策を強化するとしている。
事件後24時間以内にビットコインは2.51%下落し、イーサリアムは7.42%の下落を記録した。市場は冷徹な数字で、コードの欠陥による信頼崩壊に応えている。
CrossCurveチームが設定した72時間の「セーフハーバー」カウントダウンは刻々と進行中だ。ブロックチェーンブラウザの取引記録には、盗まれた資金が依然として攻撃者のアドレスに留まり、大規模な移動は見られない。この検証コードの一行の欠落から引き起こされた嵐は、最終的にホワイトハットによる和解で終わるのか、それとも長期にわたる国境を越えた資産追跡の攻防戦に発展するのか、その行方は未だ見えない。