MAP Protocol のクロスチェーンブリッジはすでに停止しており、攻撃者が不正に 1000 万億枚の MAPO を鋳造しました

オンチェーン セキュリティ機構 Blockaid は 5 月 20 日、MAP Protocol 傘下のクロスチェーン ブリッジ コンポーネント「Butter Bridge V3.1」がイーサリアムおよび BSC 上で攻撃を受けたことを検知しました。攻撃者はスマートコントラクトの設計欠陥を悪用し、ブリッジ接続コントラクトを新規作成されたアドレスへ不正に約 1,000 万億枚の MAPO を鋳造させました。これは合法的な流通量約 2.08 億枚の 480 万倍に相当します。

攻撃メカニズム：リトライ メッセージ検証プロセスにおけるスマートコントラクト設計欠陥

Blockaid によると、今回の攻撃の根本原因は「Butter Bridge V3.1」のリトライ メッセージ検証プロセスにあるスマートコントラクト設計欠陥であり、MAP Protocol の基盤となるプロトコル構成の失敗ではなく、コントラクト実装レイヤーの問題です。攻撃者は、誤った検証パスをコントラクトの実行に誘導することで、ブリッジ接続コントラクトが合法なクロスチェーンの証憑チェックを回避し、Ethereum チェーン上で新規作成された EOA アドレスへ直接トークンを鋳造できるようにしました。

クロスチェーン ブリッジは技術的に、2 つの独立したブロックチェーンからのメッセージを同時に検証する必要があり、各チェーンにはそれぞれのコンセンサス機構、安全モデル、および取引の最終確定ルールがあります。MAP Protocol はピアツーピア モデルと軽量クライアント検証を採用しており、理論上、信頼できる第三者検証者に依存する方式より攻撃面が小さいはずです。しかし今回の件では、コントラクトのリトライ ロジックの設計欠陥が悪用可能な入口を提供しました。Butter Network は、修正、監査、ならびに再デプロイの作業が進行中であることを確認しています。

損失規模と MAPO 市場の反応：確認済みデータ

攻撃者の換金額：52.21 ETH（約 18 万ドル）、Uniswap V4 の ETH/MAPO 流動性プールから発生

攻撃者の残存保有：約 9,999.99 億枚 MAPO。攻撃者のウォレット内に残っており、MAPO 関連のすべての流動性プールおよび CEX 上場に対して継続的なリスクをもたらす

MAPO 価格への影響：売却後、1 日あたりの下落幅は約 30%

不正鋳造の総量：約 1,000 万億枚。合法的な流通量（2.08 億枚）の 480 万倍

2026 年のクロスチェーン ブリッジ攻撃の累計損失（5 月中旬時点）：3.286 億ドル超

MAP Protocol と Butter Network が確認した対応策

MAP Protocol 公式声明では、以下の実施済みの抑止措置を確認しています。MAPO ERC-20 と MAPO メインネットの間のブリッジ接続を一時停止；ユーザーに対し、現在 Uniswap で MAPO ERC-20 トークンを取引しないよう警告（イベント緩和措置の期間中も流動性プールにはリスクが残存）；チームが外部のセキュリティ パートナーと連携して調査を進めている。

Butter Network 公式声明では、以下を確認しています。ButterSwap はすべての運用を停止済み；修正、監査、ならびに再デプロイの作業が進行中；未処理の取引は安全な復旧後に処理；ユーザーの資金に直接の損失はなく、影響を受けた取引確認はシステム復旧後に全額処理される。

よくある質問

今回の攻撃は MAP Protocol の基盤プロトコル構成における欠陥に該当しますか？

Blockaid によると、今回の脆弱性は「Butter Bridge V3.1」のスマートコントラクト設計上の問題であり、具体的にはリトライ メッセージ検証プロセスで発生したもので、MAP Protocol の基盤となるピアツーピア構成や軽量クライアント検証モデルの根本的な失効によるものではありません。Butter Network は現在、そのコンポーネントの修補と再監査を進めています。

攻撃者が保有する約 9,999 億枚の MAPO がなぜ継続的なリスクになるのですか？

攻撃者のウォレットには、違法に鋳造された MAPO を約 9,999.99 億枚保有しており、合法的な流通量（2.08 億枚）をはるかに上回る数千倍です。もし攻撃者が、これらのトークンをいかなる MAPO の流動性プールにも投入する、または中央集権型取引所に上場申請を提出することを選択すれば、MAPO 市場の価格と流動性に大きな打撃を与えます。Blockaid の発表は、この保有が「いかなる MAPO プールであっても、また CEX の上場に対しても継続的なリスクを構成する」と明確に指摘しています。

クロスチェーン ブリッジがなぜ DeFi エコシステムの高リスクな攻撃対象であり続けるのですか？

クロスチェーン ブリッジは技術構成として、2 つの独立したブロックチェーンからのメッセージを同時に処理する必要があり、各チェーンにはそれぞれ異なるコンセンサス機構、安全モデル、最終確定ルールがあります。ブリッジ接続コントラクトは通常、そのうちの 1 つのチェーンで大量の資産をロックし、もう 1 つのチェーンでは対応するトークンを鋳造します。ブリッジのロジックに欠陥がある場合、攻撃者はロックされた資産を盗むことができるほか、資金による裏付けなしにトークンを鋳造することも可能になります。歴史的な事例としては、2022 年の Nomad Bridge が 1.86 億ドル超が盗まれた事件（身元認証の誤り）、Ronin Bridge や Wormhole 攻撃などが挙げられます。2026 年までの時点で、こうした攻撃の累計損失は 3.286 億ドルを超えています。