Port3 Networkがハッキング被害で無価値に！PORT3が82%急落、公式が無効化および再発行を発表

分散型AIデータネットワークPort3 Networkが、CATERC20クロスチェーン・トークンソリューションの境界条件検証の脆弱性をハッカーに悪用され、10億枚のPORT3トークンが不正に鋳造・売却され、トークン価格は1時間以内に82%急落しました。Port3はCEXに連絡し、疑わしいトークンの流れを凍結、トークンの再発行と新コントラクトの展開を決定しました。PORT3トークンはほぼ無価値となり、公式は資産スナップショットの時刻と操作指針を公表する予定です。

CATERC20脆弱性が分散化を致命的なバックドアに変えた

Port3 Networkは現地時間11月23日午後2時ごろ、Xでハッキング理由を公表し、一見安全に見えるクロスチェーン・ソリューションがいかにして壊滅的な脆弱性となり得るかを明かしました。PORT3はマルチチェーン展開を目指して@nexa_networkのクロスチェーン・トークンソリューションCATERC20を採用していました。このソリューションは理論上、トークンを複数のブロックチェーン間で流通させることができ、マルチチェーンエコシステムを構築したいプロジェクトには非常に魅力的です。

しかしCATERC20には境界条件検証の脆弱性がありました。トークンの所有権が放棄（renounce ownership）された場合、関連関数は0を返し、これが所有者検証条件を満たしてしまいます。この設計上の欠陥はスマートコントラクトの世界では非常に危険で、「所有者なし」の状態を「誰でも所有者になれる」と誤解釈してしまうのです。

Port3 Networkは、分散化の強化のため意図的にコントラクト管理者権限を放棄しましたが、結果的にハッカーにバックドアを残す形となりました。この決断自体は暗号資産の精神に沿ったものです――分散型プロジェクトでは、運営チームがトークン供給やコントラクト機能を恣意的に操作できないことを証明するため、ある段階で管理者権限を放棄するのが通例です。しかしCATERC20の実装では、この善意が逆に致命的な弱点となりました。

さらに憂慮すべきは、この欠陥が過去のセキュリティ監査で明らかにならなかったことです。これは現状のブロックチェーンセキュリティ監査の限界を露呈しています。多くの監査会社は一般的な脆弱性パターンの検査に集中し、特定クロスチェーン・ソリューションの境界条件までは十分にテストしていない場合があります。CATERC20は比較的マイナーなクロスチェーン・ソリューションであり、その特殊な検証ロジックが監査チームに十分理解されていなかった可能性があります。

CATERC20脆弱性攻撃フロー

ステップ1：Port3が分散化のためコントラクト所有権を放棄

ステップ2：renounce ownership後、関数が0を返す

ステップ3：ハッカーが0が所有者検証条件を満たすことを発見

ステップ4：ハッカーが鋳造権限を取得し、10億枚のPORT3を不正鋳造

ステップ5：大量トークン売却で1時間以内に82%急落

1時間で82%急落、取引所が緊急で入出金停止

（出典：CoinMarketCap）

ハッカーが不正鋳造した10億枚のPORT3トークンは市場に壊滅的な影響を及ぼしました。わずか1時間でPORT3の価格は82%急落し、この暴落速度は暗号資産市場でも稀です。通常、重大な悪材料が出ても市場が消化するのに数時間から数日かかります。しかし、無コストのトークンが大量に市場に流入した場合、売り圧力は瞬時かつ圧倒的となります。

事件発覚後、Port3 Networkは中央集権型取引所と連絡を取り、疑わしいトークンの流れを凍結しました。主要取引所は迅速に対応し、PORT3の入金・出金機能を停止しました。こうした緊急措置は、ハッカーが不正に得たトークンを取引所で現金化するのを防ぐと同時に、取引所でPORT3を保有するユーザーをさらなる損失から守るためのものです。

しかし分散型取引所（DEX）での取引は停止できず、これが短時間で価格が崩壊した一因でもあります。ハッカーはDEXで大量に売却した可能性が高く、一般投資家は異常に気付く前に大きな損失を被ったことになります。オンチェーンデータを見ると、Uniswapなどの分散型プラットフォームで大量取引が発生し、これらの取引は取り消しも凍結もできません。

現在PORT3トークンはほぼ無価値となり、攻撃前の価格からほぼゼロにまで下落しました。PORT3保有投資家にとっては災難です。攻撃前に購入・長期保有していたユーザーは、投資がほぼ全て消失したことになります。こうした背景から、公式がトークン再発行を決断したのは唯一現実的な解決策となりました。

公式がトークン再発行とコントラクト再始動を決定

トークンがほぼ無価値となった現実を受け、Port3 Networkは重大な決断を下しました。トークンの再発行と新コントラクトの展開によってこの問題を修正する方針です。これは現在のPORT3トークンを正式に無効とし、新しいトークンがその代わりとなることを意味します。公式は資産スナップショットの時刻と操作指針を公表し、ユーザーが一定の比率で旧トークンを新トークンと交換できるようにします。

この「リブート」戦略は暗号資産の歴史上、前例がないわけではありません。2016年The DAOがハッキングされた際、イーサリアムコミュニティが投票でハードフォークを決定し、盗難取引をロールバック、現在のイーサリアム（ETH）とイーサリアムクラシック（ETC）が誕生しました。ただしPort3 Networkの場合はチェーン全体の分岐ではなく、単一プロジェクトのトークン再発行です。

新トークンの発行にはいくつかの重要な課題があります。まずスナップショット時刻の選定です。公式は攻撃発生前のある時点で全保有者の残高を記録し、新トークン分配の根拠とします。この時点の選定は極めて重要です――早すぎると攻撃前の正常な取引が漏れ、遅すぎるとハッカー操作の取引が含まれてしまいます。

次に交換比率です。最も公平なのは1:1交換、すなわち旧PORT3を1枚保有するごとに新トークンを1枚受け取る方式です。ただし、攻撃期間中に極端に安値で「底値買い」したユーザーもいるため、公式はより複雑な分配設計を検討し、各方面の利益バランスを図る可能性もあります。

三つ目は新コントラクトの安全性です。今回の攻撃はCATERC20ソリューションの欠陥が原因であり、新トークンは異なる技術ソリューションが必要となるかもしれません。Port3 NetworkはCATERC20の採用をやめ、より実績あるクロスチェーンブリッジを採用、あるいは当面は単一チェーンに集中し、技術が成熟してからマルチチェーン展開を再検討する可能性もあります。

また、公式はユーザーに対し、トークン交換期間中は非公式リンクをクリックしないように注意喚起しています。これは非常に重要な警告です。重大なセキュリティ事件発生時には、詐欺師がフィッシングメールや偽の交換サイトを送りつけ、秘密鍵やシードフレーズを盗もうとするケースが多発します。ユーザーは必ず公式Twitter・公式サイト・公式アナウンスチャネルの情報だけを信用してください。

Port3 Networkが直面する今後の課題とコミュニティ信頼回復

今回の攻撃事件がPort3 Networkに与えたダメージは経済的損失だけでなく、信頼面でも甚大です。投資家やユーザーは「チームがCATERC20の欠陥を最初に発見できなかったなら、新トークンで同様の問題が起きない保証はあるのか？」「セキュリティ監査で脆弱性が発見できなかったのなら、新トークン監査の信頼性はどうなのか？」と疑問を抱くでしょう。

Port3 Networkは信頼回復のために複数の対策を講じる必要があります。まずは事故調査報告の透明化です。脆弱性の技術詳細、ハッカーの攻撃手法、チームの対応プロセスを詳細に説明すべきです。次に複数のトップセキュリティ企業に新コントラクトの独立監査を依頼し、その監査報告を公開すること。さらにバグバウンティプログラムを設け、ホワイトハッカーによる脆弱性発見を積極的に奨励することが重要です。

より広い視点では、今回の事件は暗号資産業界全体に教訓を与えました。分散化は確かにコア理念ですが、管理者権限を放棄する前にコントラクトが十分にテストされ、境界条件の脆弱性がないことを確認しなければなりません。クロスチェーン・ソリューションでエコシステムを拡大する際も、サードパーティ技術の導入には徹底的な技術的デューデリジェンスが不可欠です。