ハイパーブリッジは16日、13日の流出による被害額を約250万ドルへと修正した。当初推定の23万7000ドルの約10倍。
チームは4月16日の事故後のアップデートで新たな損失額を明かした。今回の修正では、関連するインセンティブプールの損失も加算した。加えて、4つのEVMチェーンにおけるフォレンジック調査の結果を反映した。
修正後の被害額に含まれる内容
当初報道によれば、攻撃者は10億枚のブリッジDOTトークンをミントし、全額を1回の取引で清算。これにより108.2イーサ(約23万7000ドル)を得ていた。
しかし、チームはこの数字は実態を反映していなかったと指摘した。
「4つのチェーン全体での攻撃者の行為の照合、攻撃の2段階性、さらに関連インセンティブプールの損失も加味した結果、修正後の総損失額はイーサとDOT基準で約250万ドルとなった」ブログ記載。
Xで最新ニュースをフォロー 最新情報をリアルタイムで入手
分析では、流出に至る一連の経緯も明らかになった。一見ひとつの攻撃のように見えたが、実際には約1時間を挟んだ関連する2つの事件だった。
攻撃者はまず、トークンゲートウェイコントラクトから約245イーサを不正流出させた。およそ1時間後、約10億枚のブリッジDOTトークンを不正ミントした。
これらの資産は、分散型取引所の流動性で売却された。
「2026年4月13日、攻撃者はマークルマウンテンレンジ(MMR)証明ロジックの脆弱性を突き、資産のミントやトークンゲートウェイ上のエスクロー資産の流出を実行した。これにより、イーサリアム、Base、BNBチェーン、アービトラムの各EVMネットワークに接続されたDOTトークンプールが影響を受けた」とチームは説明。
チームは、今回の流出がトークンゲートウェイと同EVMネットワーク上のブリッジトークン契約内に限定されていると強調した。
ハイパーブリッジの復旧方針と補償
ブログによれば、盗まれた資金の多くがバイナンスに流れたと判明。ハイパーブリッジは同取引所のコンプライアンスチームや法執行機関と連携し、資産の凍結を進めているという。本格的な回収には数か月から1年を要する見通し、と注意喚起した。
資金回収が不十分な場合、被害ユーザーはハイパーブリッジのネイティブ資産BRIDGEトークンで補填する。補償手順と支給スケジュールは、流出発生日から1年後の2027年4月13日に公表する。
「回収を最優先とし、その後にトークン補償を検討するのは被害者保護のため。オンチェーン追跡や取引所対応、法執行の過程を経ずにトークン補償を先行させれば、対象ユーザーへの配布資産そのものが希薄化し、実際の価値も下がる」とハイパーブリッジは述べた。
チームはまた、トークンゲートウェイの稼働を一時停止しており、脆弱性の完全な修正・第三者監査(監査報告書も公開)・追加のセーフガード導入がすべて完了するまで再開しないと表明した。今後数か月で、ハイパーブリッジがどこまで流出資産の回収を実現できるかが問われる。
