クロスチェーン流動性プロトコルのTHORChainは金曜日の朝、4つのネットワークにまたがる1,000万ドル超の不正アクセスをブロックチェーンセキュリティ研究者が検知したとして、すべての取引を停止した。CoinGeckoのデータによると、ネイティブトークンのRUNEは数時間で約10%下落し、0.52ドルまで値を下げた。
4つのブロックチェーンを同時に狙った攻撃
むしろこのエクスプロイトの最初の痕跡は、オンチェーン研究者のZachXBTとセキュリティ企業PeckShieldが発見したもので、Decryptが5月15日に報じた。資金は2つの主要アドレスに集中しており、Bitcoinアドレスへは36.75 BTC(約300万ドル)が送金され、EVMネットワーク側では約700万ドルの損失が確認されている。被害はEthereum、BNB Smart Chain、Baseにまたがっている。プロトコルチームは脆弱性の技術的詳細を明かすことなく、防御措置として取引とオンチェーン署名を即座に停止した。
注目すべきは被害額の規模だけではない。アーキテクチャが異なる複数のチェーンから同時に流動性を抜き取ったという手口の精巧さが際立つ。クロスチェーンブリッジはDeFiエコシステムで最も悪用されている攻撃経路だ。ブリッジング機構の複雑さは完全な監査が困難な攻撃対象領域を生み出し、マルチチェーンの流動性を管理するプロトコルほどシステミックリスクが拡大する構造にある。
すでに困難な歴史を持つプロトコル
THORChainは今回のエクスプロイト以前から評判が揺らいでいた。2025年1月、プロトコルは2億ドルの未履行債務を理由にThorFiの貸付業務を停止し、90日間の再建計画を開始した。昨年9月にはZachXBTが北朝鮮関連オペレーターによるものと特定した攻撃者が、創業者ジョン・ポール・ソルビョルンセン(John-Paul Thorbjornsen)の個人ウォレットから120万ドルを奪い取っている。
業界全体の状況も厳しい。CertiKのデータによると、北朝鮮のハッカーグループは2025年を通じて21億ドル相当の暗号資産を窃取し、同年の暗号資産盗難被害全体の60%を占めた。2026年5月だけでもDeFiプラットフォームのTrustedVolumesが670万ドルの別件被害を受けている。金融庁(FSA)が仮想通貨交換業者に対するセキュリティ基準を整備する一方で、THORChainのような非中央集権型プロトコルは日本の規制枠組みの外側に置かれており、被害補償の法的手段は事実上存在しない。
プロトコルの回復には、技術的なポストモーテムの透明性と、他の攻撃者に悪用される前に脆弱性を修正できるかどうかにかかっている。攻撃ベクトルに関する公式説明がなければ、ユーザーの信頼は回復しない。そしてその信頼の行方が、RUNEの市場価格を左右することになる。
