DePIN「IoTeX」、ブリッジ侵害で6.8億円流出──補償計画は48時間以内に公表

DePINプラットフォームのIoTeX（アイオーテックス）は21日、マルチチェーンブリッジ「ioTube」のイーサリアムコントラクトがセキュリティ侵害を受け、約440万ドル（約6億8,300万円）相当の資産が不正に流出したと公表した。アイオーテックスのレイヤー1や取引所のIOTXトークンIOTXに影響はなく、被害はイーサリアム側のブリッジに限定されるとしている。

バリデーターのアカウント侵害を起点に4段階で攻撃

攻撃者はまずイーサリアム上のバリデーターコントラクトのオーナーアカウントを侵害し、管理権限を取得した。この権限を使用し、コントラクトをすべての署名や検証チェックを無効化する悪意のあるバージョンにアップグレードし、トークン発行機能「MintPool（ミントプール）」と準備資産を管理する「TokenSafe（トークンセーフ）」の両方を制御した。攻撃者はこの制御をもとに、ブリッジ用クロスチェーントークン「CIOTX」を4億1,000万枚不正に発行し、準備資産からも約6億8,300万円相当の10種類のトークンを抜き取った。今回の攻撃は、高度かつ組織的なオペレーションであり、過去の著名なDeFi（分散型金融）への攻撃との関連の可能性が示唆されている。

アイオーテックスは、不正に発行された4億1,000万CIOTXの86%超をすでにロックまたは凍結済みと報告している。内訳として、イーサリアム上の2億1,500万枚とベース上の1億枚のCIOTXは換金手段やブリッジ経路が存在せず自動的にロック状態となった。残りのアイオーテックスチェーン上の9,500万枚は、同チームが攻撃者の29アドレスを特定し、チェーンレベルでブラックリスト化を進めている。このうち5,240万枚は暗号資産取引所「バイナンス」に送金されており、イージービットやチェンジナウなどの取引パートナーと連携して凍結を進めている。

一方、トークンセーフから流出した資産は攻撃者によって約2,183ETHETH（約6億2,000万円）に変換された。このうち約1,572ETH（約4億5,000万円）がTHORChain（ソーチェーン）経由でビットコインBTCにブリッジされ、残りは監視下にある複数のイーサリアムアドレスに分散している。追跡の結果、合計66.78BTC（約6億5,500万円相当）を保有する4つのビットコインアドレスを特定した。これらのBTCはすべて未使用で、オンチェーン分析パートナーと24時間体制で監視を続けているとのことだ。

アイオーテックスはioTubeの運用を全チェーンで停止しており、独立した第三者によるセキュリティ監査が完了するまで再開しない方針である。再発防止策としてマルチシグと24時間ロックの導入やバグバウンティ（バグ報奨金制度）の拡充を進めるほか、ブリッジのバリデーター承認プロセスを分散化する「IIP-55」の実装も予定する。今回の攻撃の影響を受けたブリッジ利用者への補償計画は48時間以内に公表予定で、コミュニティAMAも24〜48時間以内に開催するとしている。

関連：クロスカーブで4.6億円ハッキング──スマートコントラクト脆弱性を悪用
関連：マキナ・ファイナンスで7.9億円流出──DUSD・USDCのCurveプールがハッキング被害

※円価格は執筆時点でのレート換算（1ドル＝155.2円）
※BTC価格は執筆時点でのレート換算（1BTC＝9,814,389円）
※ETH価格は執筆時点でのレート換算（1ETH＝284,001円）