クロスチェーンブリッジ「Gravity Bridge」、署名キー侵害で5.4百万ドル流出か

なお、この報告時点でGravity Bridgeの運営側からの公式声明は出ていません 。

資金洗浄の流れ：ChangeNOW、バイナンス、そして保有されたままのETH

攻撃者は盗んだ資産をすぐに現金化するのではなく、段階的なアプローチを取りました。PeckShieldの追跡によると、盗まれた資金の一部は、非カストディアルのスワップサービスであるChangeNOWと、世界最大の中央集権型取引所であるバイナンスを通じて移動されました 。

しかし、オンチェーン調査員にとって最も注目すべき点は、攻撃者が動かしていない資金です。最新のモニタリング更新時点で、攻撃者のウォレットには2,102 ETH（約423万ドル相当） が残されたままとなっています 。これは、攻撃者が盗んだステーブルコインやトークンをETHに交換したものの、全額を現金化する前に立ち止まったことを示唆しており、追加の取引所凍結や法執行機関の追跡を警戒している可能性があります。

攻撃者が保有し続ける残高は、オンチェーン上に生きた痕跡として残っています。セキュリティ研究者やブロックチェーン分析企業はこのウォレットを継続的に追跡しており、今後何らかの動きがあれば、主要なコンプライアンスプラットフォーム全体にアラートが発せられるでしょう 。

グラビティブリッジとは何か、そしてなぜ重要なのか

グラビティブリッジは、IBC（Inter-Blockchain Communication）プロトコルを用いてイーサリアムとCosmosのエコシステムを接続する、分散型で信頼不要なブロックチェーンです。中央集権的な管理者を介さずに、USDC、DAI、WETHといったERC-20資産をCosmosの世界へ、またその逆方向へと転送することを可能にします 。

2026年半ばまでに、グラビティブリッジは累計ブリッジ取引量500億ドルを突破し、100以上のバリデータセットで決済の最終性を担保するまでに成長していました 。このブリッジは中立性とパーミッションレスなアクセスを前提に設計され、ガバナンスも複数のステークホルダーに分散されています。今回の事件前、オンチェーン追跡によると、同ブリッジに預けられた総資産額（TVL）は約1,150万ドルでした 。

この侵害事件は、ブリッジ設計における根本的なジレンマを露呈させました。グラビティブリッジのアーキテクチャはガバナンスやバリデータレベルでは分散化されていますが、イーサリアム側での資金引き出しを承認するために特権的な署名キーを使用する仕様が、信頼の集中点を生み出していたのです。今回、そのキーが侵害されたと見られることで、攻撃者はブリッジ全体のセキュリティモデルを突破することなく、資金を引き出すことが可能になりました 。

クロスチェーンブリッジに吹き荒れる嵐：2026年の被害総額は3億3,000万ドル超

グラビティブリッジの事件は孤立したものではありません。2026年5月中旬までに、PeckShieldは2026年に発生した8件の大規模クロスチェーンブリッジハッキングを記録しており、被害総額は合計3億2,860万ドルに達していました 。そのリストには以下の事件が含まれます。

グラビティブリッジは、この厳しいリストに9番目の大規模案件として加わり、2026年のブリッジ関連被害総額は6月を待たずして3億3,000万ドルを突破する勢いです。この頻度と規模の大きさにより、ブリッジセキュリティは業界で最も緊急性の高い課題の一つとなっています 。

繰り返される弱点：中央集権的な鍵管理

これらの一連の事件に共通する要素があるとすれば、それは必ずしもコードの品質ではなく、**「鍵管理のアーキテクチャ」**です。

4月に発生したKelp/LayerZeroの事件はそれだけで2億9,200万ドルの損失をもたらしましたが、グラビティブリッジの件と同様に、純粋な技術的バグというよりも、認証メカニズムそのものに疑問符が付くものでした。ブリッジのセキュリティが少数の署名キーに依存している場合、たとえそのキーが信頼できる当事者によって保持されていたとしても、たった一つのキーの侵害が、攻撃者にとっての「マスターキー」になり得るのです 。

今回のグラビティブリッジの事件は、セキュリティ研究者たちが何年も前から主張してきたことを改めて証明する形となりました。スタックのある層での分散型コンセンサスは、別の層での中央集権的な鍵管理を決して補完しないということです。MPC（マルチパーティ計算）ウォレット、閾値署名方式、HSM（ハードウェアセキュリティモジュール）といった緩和策は提案されてきたものの、ブリッジ業界全体での導入は依然として一貫していません。

また、この事件は調査機関にとって現実的な側面も浮き彫りにしています。攻撃者が盗んだステーブルコインをETHに交換し、その大半を追跡可能なウォレットに残したことで、この侵害は資産回収と法的追跡の生きたケーススタディとなりました。それが資金の返還につながるのか、それとも単に終わりのないオンチェーンブラックリストにアドレスが一つ追加されるだけに終わるのか、その行方はまだ見えていません。