LayerZero($ZRO)のエンドポイントのセキュリティ漏洩を起因としたKelpDAO($KERNEL)の11.6万rsETHとう巨額ハッキング被害は、よくあるDeFiやブリッジのコントラクトバグではなく、いわゆるサプライチェーン攻撃に相当するエコシステムに対する攻撃でした。
2026年4月からこの事例が増えており、同様の攻撃としてSyndicate( $SYND)のブリッジハッキングがあげられます。本稿では今後急増するであろう同様の仮想通貨に対するサプライチェーン攻撃と対処、どのように影響を考えるべきかについて仮想通貨(暗号資産)投資家向けにわかりやすく解説を行います。KelpDAO及びLayerZeroの巨額ハッキング事件については墨汁マガジンVol.1243「Aaveの巨額不良債権を引き起こしたKelpDAOの463億円ハッキングと今後を理解する」を参照してください。
Syndicate($SYND)でLayerZeroと同様のハッキング被害
イーサリアムをL1としたカスタムチェーンプロバイダー及びシーケンサープロジェクトのSyndicate(シンジケート)のコモンブリッジ(Commons Bridge)から約1850万SYNDが盗まれ、さらにカスタムチェーン側から5万ドルのハッキング被害が起きました。
Syndicate Labsの公式発表によると、ブリッジコントラクトの秘密鍵が漏洩したことが大本の原因となっており、2つのチェーンのエンドポイントがセキュリティ漏洩したことでSYNDとカスタムチェーンの両方でトークンが盗まれたとしています。
Syndicateとは?
Syndicateとはアプリケーション専用のカスタムチェーンを作成するいわゆるRollup-as-a-Sericeに似たプロジェクトです。主な特徴としてはプログラム可能なカスタムシーケンサーを提供しており、SYNDをガスとして使用します。
Syndicateのプロジェクト概要は下記のようになっています。
| 項目 | プロジェクト詳細 |
|---|---|
| 公式X(Twitter) | @syndicateio |
| トークンシンボル | $SYND |
| 創設年 | 2021年 |
| メインネットローンチ | 2025年9月16日 |
| 資金調達額 | 2800万ドル |
| コア技術 | Rollup-as-a-Service |
| 開発元 | Syndicate Labs |
| チェーン | イーサリアム |
ハッキングが深刻な理由
DeFiなどのコントラクトがハッキングされる事例は多く、攻撃への脆弱性やバグは監査がスタンダードとなっていても2020年頃から依然として多いです。一方でコントラクト以外でいわゆるサプライチェーン攻撃はまばらであり、2026年まではあってもUIのDNSポイズニングなどが主流だったわけです。
一方で現在のハッキング及び攻撃手法では主に3つあり、下記表のようにその原因によってリスクが異なる点を理解しておく必要があるでしょう。
