
ゼータチェーンで33万4,000ドル規模のエクスプロイトが発生…事前に警告された脆弱性の無視が被害を拡大
2026年4月26日に発生したゼータチェーンのセキュリティ事故は、事前に報告されていた脆弱性を運営陣が無視したことで発生したことが明らかになった。今回の事件は、バグバウンティプログラムの実効性とプロトコルのセキュリティ管理体制に対する批判につながっている。
2026年4月26日、ゼータチェーン(ZetaChain)はチーム関連のウォレットから約33万4,000ドルが流出する標的型エクスプロイト攻撃を受けた。今回の損失は、プロトコルのセキュリティチームが数週間前に公式チャネルを通じて受け取った特定の脆弱性報告を却下していた事実が判明したことで、十分に予防可能であった事故だとの指摘を受けている。
「ハッカーは実行前に、各ターゲットの許可状態とトークン残高を慎重に事前検証していた。」
攻撃者は4つの異なるチェーンにまたがるチームウォレットを奪取するため、「連鎖的脆弱性(chained vulnerability)」を利用した。ポストモテム(事後分析)の結果によると、攻撃者は一度の宛先失敗もなくすべての資金引き出しに成功しており、これは非常に精密に計画された攻撃であることを示唆している。
無視された警告:却下されたバグ報告の悲劇
今回の事故の核心は、あるホワイトハットのセキュリティ研究員がImmunefi(イミューニファイ)を通じてGatewayEVMコントラクトの欠陥を正確に指摘していた点にある。しかし、ゼータチェーンのセキュリティチームはその報告を却下処理し、結果として攻撃者が同じ経路を通じて資金を奪取することを放置する形となった。
- Immunefiを通じた公式バグ報告の提出と却下
- GatewayEVMコントラクト内の連鎖的な設計上の欠陥の放置
- 攻撃者によるチームウォレット資産333,868ドルの奪取
- 事故発生後のクロスチェーントランザクションの緊急停止
技術的に今回の攻撃は、GatewayEVMコントラクトの論理構造をバイパスして資金引き出し権限を取得する方式で実行された。設計上の不備を利用して複数のチェーンに分散された資産を同時に攻撃した点が特徴であり、これはプロトコルの根本的なセキュリティアーキテクチャに疑問を投げかけるものとなっている。
ゼータチェーン側は事故検知直後、すべてのクロスチェーン活動を一時中断する緊急措置を講じた。幸いなことに、今回の攻撃はチーム関連のウォレットに限定されており、一般ユーザーの資金に被害が拡大することは防ぐことができた。
市場の反応とZETAトークンの変動性
セキュリティ事故のニュースにもかかわらず、ZETAトークンは24時間で16.44%上昇し、0.0556ドルを記録するという奇妙な現象を見せた。これは取引高が1,273%急増し、4,000万ドルを上回ったことに伴う「流動性イベント」の性格が強いと分析される。
しかし、長期的な観点では、ZETAトークンは上場以来その価値の96%以上を喪失した状態であり、今回のセキュリティ事故は投資家の信頼をさらに冷え込ませる可能性が高い。事故直後には一時的に4.8%下落し、0.054ドル付近で取引されるなど、市場は極めて不安定な動きを見せた。
セキュリティ管理体制のコストと今後の課題
- 詳細な技術ポストモテム報告書を公開予定
- バグ報告を提出した研究員への報酬検討
- GatewayEVMコントラクトのセキュリティアップデートおよび再監査
- クロスチェーン機能の段階的な復旧とセキュリティ強化
今回の事件は、セキュリティ研究員とプロトコル運営会社間のコミュニケーション不足が招きかねない莫大なコストを如実に示している。有効なバグ報告を却下する行為は、今後のホワイトハット研究員の参加意欲を削ぎ、プロトコルの評判に致命的な打撃を与える結果を招く。
ゼータチェーンは今回の事故を機に、セキュリティ管理プロセスを全面的に見直すべき課題を抱えることとなった。特に、バグバウンティプログラムを通じて寄せられる報告に対する検証の専門性を強化し、同様の設計上の欠陥が再発しないようインフラを補完することが急務である。

本コンテンツは情報提供と論評を目的としたものであり、投資助言ではありません。
この記事について話しましょう
ほかの読者の反応を見ながら、自分の意見も残せます。