Secret Networkのブリッジ脆弱性で470万ドル超が流出、無限ミントの仕組み悪用

2026年6月10日、Secret Network上で稼働するAxelarブリッジのスマートコントラクトに深刻な脆弱性が発見された。この「無限ミント」と呼ばれる仕組みの悪用により、実質的に裏付けのないラップトークンが大量に発行され、最終的に467万ドル相当の資産が流出した。攻撃は1週間近く発見されず、その間に攻撃者はイーサリアムネットワークへ資金を移動させ、複数の海外取引所を経由して資金を分散させた。この事例は、クロスチェーンブリッジのセキュリティリスクと、プライバシー特化型ブロックチェーンにおける脆弱性管理の重要性を改めて浮き彫りにしている。

プライバシー特化型ブロックチェーン上のクロスチェーンブリッジが狙われた理由

Secret NetworkはCosmosエコシステムを基盤としたプライバシー特化型のレイヤー1ブロックチェーンであり、トランザクションの暗号化によってユーザーの取引内容を非公開に保つ設計が特徴だ。一方で、他のブロックチェーンとの相互運用性を高めるためにAxelarネットワークと連携し、複数のチェーン間で資産をラップする仕組みを提供していた。この連携により、例えばイーサリアム上のETHをSecret Network上で扱う際にsaWETH（Secret Network版のラップトークン）として保有できるようになっていた。

しかし、このクロスチェーンブリッジのスマートコントラクトに「無限ミント」と呼ばれる深刻なバグが存在していた。具体的には、Axelarが提供するラップトークン（saToken）のミント処理において、入金元のチャンネルを検証する仕組みが不十分だったため、攻撃者は偽造されたチャンネル経由で正当なsaTokenを発行させることが可能となった。この際、実際の裏付け資産（例えばsaUSDTであれば米ドル建てのUSDT）はブリッジ内のエスクローに預託されている必要があるが、攻撃者は裏付けなしでsaTokenを発行し、その後に正規のチャンネルを経由して裏付け資産を引き出すという手法を取った。

この脆弱性は、ブロックチェーン間の相互運用性を高めるための技術的複雑さがもたらした典型的なリスクと言える。クロスチェーンブリッジは複数のチェーン間で資産を移動させるための重要なインフラだが、そのセキュリティモデルは各チェーンのルールや検証メカニズムに依存しており、いずれかの部分で不備があると全体の信頼性が損なわれる構造になっている。Secret Networkの場合、プライバシー特化という特性とクロスチェーン機能の両立が求められたが、その結果としてセキュリティ上の盲点が生まれたと考えられる。

攻撃の経緯：1週間にわたる見過ごされた攻撃と資金の移動

攻撃は6月10日に開始されたが、その異常が検知されたのは6月17日になってからだった。この間、攻撃者は無限ミントの仕組みを悪用してsaUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB、sawstETHなどのラップトークンを大量に発行し、裏付け資産を不正に引き出していた。最終的に流出した金額は467万ドル相当に上った。

攻撃発覚のきっかけとなったのは、あるユーザーが正規のクロスチェーン取引を実行しようとした際に「残高不足」エラーが発生したことだった。このエラーは、ブリッジ内のエスクローアカウントが実質的に空になっていたことを示すものであり、その後の調査で不正なミントと資金の流出が発覚した。この事実は、ブロックチェーンの監視体制や異常検知システムの甘さを浮き彫りにしたと言える。

攻撃者は不正に獲得したラップトークンをイーサリアムネットワークへ移動させ、最終的にETHに両替した。その後、資金は約30の異なるウォレットに分散され、最終的にKuCoin、ChangeNow、HitBTCなどの海外取引所へ預け入れられた。この資金の分散と移動の過程から、攻撃者が追跡を逃れるための準備を入念に行っていたことがうかがえる。特に、複数の取引所を経由することで資金の出所を追跡しにくくし、規制当局や法執行機関による追跡を困難にしていたと考えられる。

被害の拡大とSecret Networkの対応：ユーザーへの影響と信頼回復

Secret Network側は6月21日に公式発表を行い、被害の深刻さとユーザーへの注意喚起を行った。発表によると、Axelarを介したsaXXXトークン（例えばsaUSDTやsaUSDCなど）を保有していたユーザーは、その裏付け資産が影響を受けている可能性があり、資金が失われるリスクがあるとされた。この発表は、ユーザーに対して直ちに資産の確認と必要な対応を求めるものだった。

一方で、Secret Networkのチームは脆弱性の修正と再発防止策の実施に取り組んだ。具体的には、スマートコントラクトのミント処理における入金元チャンネルの検証強化や、ブリッジ内のエスクローアカウントの監視体制の見直しなどが行われた。また、第三者機関によるセキュリティ監査の実施も発表され、今後のブリッジ機能の安全性向上に向けた取り組みが進められている。

しかし、このような対応が行われたとしても、ユーザーの信頼回復には時間がかかるだろう。特に、クロスチェーンブリッジは複数のチェーン間で資産を移動させるための重要なインフラであるが、一度でもセキュリティ上の問題が発生すると、その信頼性が大きく揺らぐことになる。Secret Networkの場合、プライバシー特化という強みを生かしつつも、同時にセキュリティリスクを最小限に抑えるためのバランスの取れたアプローチが求められる。

クロスチェーンブリッジのリスク：過去の事例とセキュリティ強化の必要性

このSecret Networkの事例は、クロスチェーンブリッジに対するセキュリティリスクが依然として深刻であることを示している。過去数週間の間に、少なくとも22件のプロトコルハックや脆弱性悪用が報告されており、その中でもHumanity ProtocolとSyscoin Bridgeの被害額はそれぞれ3200万ドルと800万ドルに上った。これらの事例は、クロスチェーンブリッジが攻撃者にとって魅力的なターゲットとなっていることを如実に示している。

クロスチェーンブリッジのセキュリティリスクは、主に以下の要因によって引き起こされることが多い：

1. 複雑な技術スタック：複数のチェーン間で資産を移動させるための技術的な複雑さが、バグや脆弱性の温床となる。
2. 不十分な検証メカニズム：入金元のチャンネルやトランザクションの検証が不十分な場合、不正なミントや資金の流出が発生する可能性がある。
3. 監視体制の甘さ：異常なトランザクションや資金の移動をリアルタイムで検知する仕組みが不十分な場合、攻撃が発見されるまでに時間がかかる。
4. ガバナンスの脆弱性：ブリッジの運営体制やガバナンスモデルに問題がある場合、迅速な対応や修正が困難になる。

これらのリスクを低減するためには、クロスチェーンブリッジの開発者や運営者は以下の対策を講じる必要がある：

• 包括的なセキュリティ監査：第三者機関による徹底的なセキュリティ監査を実施し、脆弱性を早期に発見・修正する。
• リアルタイム監視システム：異常なトランザクションや資金の移動をリアルタイムで検知する監視システムを導入する。
• 多層的な検証メカニズム：入金元のチャンネルやトランザクションの検証を多層化し、不正なミントや資金の流出を防止する。
• 迅速な対応体制：セキュリティインシデントが発生した際に迅速に対応できる体制を整備する。

プライバシー特化型ブロックチェーンにおけるセキュリティのジレンマ

Secret Networkのようなプライバシー特化型ブロックチェーンは、ユーザーの取引内容を暗号化することで高いプライバシー保護を実現しているが、その一方でセキュリティ監視や異常検知が難しくなるというジレンマを抱えている。トランザクションの内容が非公開であるため、リアルタイムでの監視や異常検知が困難になり、攻撃が発見されるまでに時間がかかる可能性がある。

このジレンマを解決するためには、以下のようなアプローチが考えられる：

1. プライバシーを保ちつつ監視可能な仕組み：ゼロ知識証明などの技術を活用して、トランザクションの内容は非公開のまま、異常なパターンや資金の移動を検知できる仕組みを開発する。
2. 複数の監視ノードによる相互監視：複数の独立した監視ノードがネットワークを監視し、異常な動きを検知する仕組みを導入する。
3. コミュニティベースの監視体制：ユーザーや開発者コミュニティが積極的にネットワークの監視に参加し、異常な動きを報告する仕組みを構築する。

これらの取り組みにより、プライバシーを保ちつつもセキュリティリスクを低減することが可能になると考えられる。

今後の展望：クロスチェーンエコシステムの成熟に向けた課題

Secret Networkの事例は、クロスチェーンエコシステム全体に対する警鐘となっている。今後、クロスチェーンブリッジのセキュリティを向上させるためには、以下のような取り組みが求められる：

• 業界全体でのセキュリティ基準の策定：クロスチェーンブリッジの開発者や運営者が遵守すべきセキュリティ基準やベストプラクティスを業界全体で策定し、普及させる。
• 相互運用性とセキュリティのバランス：プライバシー特化型ブロックチェーンや異なるチェーン間の相互運用性を高める一方で、セキュリティリスクを最小限に抑えるためのバランスの取れたアプローチが必要。
• 規制当局との連携：クロスチェーンブリッジのセキュリティリスクに対処するためには、規制当局との連携や情報共有が重要となる。

これらの取り組みが進むことで、クロスチェーンエコシステム全体の成熟と信頼性の向上が期待される。一方で、攻撃者の手口もますます巧妙化しているため、常に最新のセキュリティ技術や監視体制の見直しが必要不可欠である。

実務的な対策：ユーザーが取るべき具体的な行動

このようなセキュリティリスクに直面した際、ユーザーが取るべき具体的な行動についても考えておく必要がある。以下は、ユーザーが実践できる対策の一部だ：

1. 資産の定期的な確認：保有しているラップトークンやクロスチェーン資産について、定期的に裏付け資産の確認を行う。特に、Axelarを介したsaTokenを保有している場合は、その裏付け状況を注意深く監視する。
2. 信頼できるブリッジの選択：クロスチェーンブリッジを利用する際には、実績のある信頼できるブリッジを選択する。新規のブリッジや実績の乏しいブリッジの利用は避ける。
3. マルチシグウォレットの活用：重要な資産を保管する際には、マルチシグウォレットを活用することで、単一の鍵の喪失や不正アクセスによる被害を最小限に抑える。
4. セキュリティニュースのフォロー：ブロックチェーン業界のセキュリティに関する最新の動向や脆弱性情報を常にフォローし、リスク管理に役立てる。

これらの対策を実践することで、ユーザーはクロスチェーン資産を安全に管理し、セキュリティリスクから身を守ることができるだろう。

結論：セキュリティとイノベーションの両立に向けた取り組みが不可欠

Secret Networkのブリッジ脆弱性を悪用した467万ドル相当の流出事件は、クロスチェーンブリッジのセキュリティリスクが依然として深刻であることを改めて示した。プライバシー特化型ブロックチェーンとクロスチェーン機能の両立は技術的なチャレンジであり、そのセキュリティモデルには常に注意が必要だ。

今後、クロスチェーンエコシステムが成熟し、より多くのユーザーや資産が参加するためには、セキュリティとイノベーションの両立を図るための取り組みが不可欠となる。開発者、運営者、ユーザーが協力してセキュリティリスクに対処し、信頼できるエコシステムを構築していくことが求められる。同時に、規制当局や業界団体との連携を強化し、業界全体のセキュリティレベルを向上させる取り組みも重要だ。