_**MAPOは、Butter Bridgeのハッシュ衝突の脆弱性を利用した攻撃により、96%以上暴落し、攻撃者はほぼ1京トークンをミントしました。MAP Protocolは現在取引を停止し、新しいコントラクトを計画しています。**_トークンはゆっくりと価値を失ったわけではありません。MAPOは、攻撃者がButter Bridgeに既に正当な取引を処理したと納得させる方法を見つけた後、数時間で96%以上の下落を見せました。セキュリティ企業Blockaidは、X上でこの事件を指摘し、ターゲットはButter Bridge V3.1、別名OmniServiceProxyであると特定しました。Blockaidによると、攻撃者はEthereumとBSCの両方のブリッジを騙し、約1京のMAPOトークンを新しいウォレットに直接ミントしました。正当な流通供給量は約2億8百万でした。この計算だけで価格変動の大部分が説明できます。**誰も気付かなかったバグが、手遅れになるまで放置されていた**------------------------------------------------根本原因はキーの漏洩ではありませんでした。MAPOのコントラクト自体の問題でもありません。BlockaidのX上での技術的解説によると、ブリッジはクロスチェーンメッセージの再試行をkeccak256(abi.encodePacked(…))を用いて4つの連続した動的バイトフィールド間で認証していました。問題は、abi.encodePackedが長さのプレフィックスを追加しないことです。異なるフィールド割り当ては、全く同じバイト列を生成し、したがって全く同じハッシュを生み出す可能性があります。攻撃者は、事前に計算されたアドレスを指す、オラクル署名付きのMAP→ETHメッセージを仕込みました。そこにはまだコントラクトは存在しませんでした。ブリッジは「NotContract」の再試行をキャッシュしました。その後、エクスプロイトコントラクトがその正確なアドレスにデプロイされました。次に起こったのは、3段階のシーケンスです。Blockaidによると、攻撃者は再試行メッセージを呼び出し、フィールド境界を再配置して、同じ601バイトの文字列に詰め込みました。同じハッシュ、同じガード通過。ブリッジは10^15 MAPOを攻撃者のウォレットに直接ミントしました。クロスチェーンブリッジの脆弱性を突いた未承認トークンのミントは、今年のDeFiインフラ全体で繰り返されるパターンとなっています。**52 ETHが消失。未だにほぼ1京トークンがそこに残っている**------------------------------------------------攻撃者は素早く動きました。BlockaidはX上で、約1億MAPOが流出した後、Uniswap V4 ETH/MAPOプールから52.21 ETH(約18万ドル)が引き出されたことを確認しました。その数字は大きく聞こえますが、攻撃者が保有していた量の0.001%未満です。報告時点で、攻撃者のウォレットには約9999.99億MAPOが残っていました。エクスプロイトの取引はEtherscanで0x31e56b4737649e0acdb0ebb4eca44d16aeca25f60c022cbde85f092bde27664aで確認できます。攻撃者のアドレスは0x40592025392BD7d7463711c6E82Ed34241B64279、エクスプロイトコントラクトは0x2475396A308861559EF30dc46aad6136367a1C30にあります。MAP Protocolは同日、X上でこの事案についての認識を示しました。MAP Protocolは、チームが認識しており、外部のセキュリティパートナーと調整中であるとX上で述べました。MAPO ERC-20とメインネットのMAPO間のブリッジは一時停止されました。**MAP Protocolは攻撃者の保有を無効化する措置に動く**------------------------------------------------------翌日には、対応策は封じ込めから構造的な全面改修へと移行しました。MAP ProtocolはX上で、元のERC20コントラクトアドレス0x66d79b8f60ec93bfce0b56f5ac14a2714e509a99のMAPOトークンのすべての変換サービスを、BSCとEthereumの両ネットワークおよびMAP Protocolのメインネット上で停止したと発表しました。関係するすべての取引所には、これらのトークンの預入と引き出しを無効にするよう通知済みです。ユーザーには、UniswapやPancakeSwapを含む分散型プラットフォームでの元のコントラクトに関連付けられたMAPOの取引を避けるよう警告されました。新しいコントラクトアドレスが公開される予定です。適切と判断される日時にスナップショットが取られます。攻撃者が管理するアドレスに残っているトークン(この時点で数百億にのぼる)は、すべて変換や今後のスナップショットから完全に除外されます。MAP Protocolはまた、X上で、PeckShieldによるこの事件の追跡を認める追補として、チームが侵害後に取引所やパートナーと調整を続けていることを示しました。次のステップ、スナップショットの詳細、新コントラクトについての公式声明が準備中です。ブリッジの失敗は、2026年の暗号資産損失の不均衡な一因となっており、攻撃者は自動化と信頼の交差点を標的にし続けています。ユーザーには、公式チャネルのみを利用するようにとプロジェクトから警告が出されています。非公式のガイダンスは完全に無視すべきだとチームは警告しています。
一つのハッシュ衝突がMAPOの96%を消し去った – 何が起こったのか
MAPOは、Butter Bridgeのハッシュ衝突の脆弱性を利用した攻撃により、96%以上暴落し、攻撃者はほぼ1京トークンをミントしました。MAP Protocolは現在取引を停止し、新しいコントラクトを計画しています。
トークンはゆっくりと価値を失ったわけではありません。MAPOは、攻撃者がButter Bridgeに既に正当な取引を処理したと納得させる方法を見つけた後、数時間で96%以上の下落を見せました。
セキュリティ企業Blockaidは、X上でこの事件を指摘し、ターゲットはButter Bridge V3.1、別名OmniServiceProxyであると特定しました。Blockaidによると、攻撃者はEthereumとBSCの両方のブリッジを騙し、約1京のMAPOトークンを新しいウォレットに直接ミントしました。正当な流通供給量は約2億8百万でした。この計算だけで価格変動の大部分が説明できます。
誰も気付かなかったバグが、手遅れになるまで放置されていた
根本原因はキーの漏洩ではありませんでした。MAPOのコントラクト自体の問題でもありません。BlockaidのX上での技術的解説によると、ブリッジはクロスチェーンメッセージの再試行をkeccak256(abi.encodePacked(…))を用いて4つの連続した動的バイトフィールド間で認証していました。問題は、abi.encodePackedが長さのプレフィックスを追加しないことです。異なるフィールド割り当ては、全く同じバイト列を生成し、したがって全く同じハッシュを生み出す可能性があります。
攻撃者は、事前に計算されたアドレスを指す、オラクル署名付きのMAP→ETHメッセージを仕込みました。そこにはまだコントラクトは存在しませんでした。ブリッジは「NotContract」の再試行をキャッシュしました。その後、エクスプロイトコントラクトがその正確なアドレスにデプロイされました。
次に起こったのは、3段階のシーケンスです。Blockaidによると、攻撃者は再試行メッセージを呼び出し、フィールド境界を再配置して、同じ601バイトの文字列に詰め込みました。同じハッシュ、同じガード通過。ブリッジは10^15 MAPOを攻撃者のウォレットに直接ミントしました。
クロスチェーンブリッジの脆弱性を突いた未承認トークンのミントは、今年のDeFiインフラ全体で繰り返されるパターンとなっています。
52 ETHが消失。未だにほぼ1京トークンがそこに残っている
攻撃者は素早く動きました。BlockaidはX上で、約1億MAPOが流出した後、Uniswap V4 ETH/MAPOプールから52.21 ETH(約18万ドル)が引き出されたことを確認しました。その数字は大きく聞こえますが、攻撃者が保有していた量の0.001%未満です。
報告時点で、攻撃者のウォレットには約9999.99億MAPOが残っていました。エクスプロイトの取引はEtherscanで0x31e56b4737649e0acdb0ebb4eca44d16aeca25f60c022cbde85f092bde27664aで確認できます。攻撃者のアドレスは0x40592025392BD7d7463711c6E82Ed34241B64279、エクスプロイトコントラクトは0x2475396A308861559EF30dc46aad6136367a1C30にあります。
MAP Protocolは同日、X上でこの事案についての認識を示しました。MAP Protocolは、チームが認識しており、外部のセキュリティパートナーと調整中であるとX上で述べました。MAPO ERC-20とメインネットのMAPO間のブリッジは一時停止されました。
MAP Protocolは攻撃者の保有を無効化する措置に動く
翌日には、対応策は封じ込めから構造的な全面改修へと移行しました。MAP ProtocolはX上で、元のERC20コントラクトアドレス0x66d79b8f60ec93bfce0b56f5ac14a2714e509a99のMAPOトークンのすべての変換サービスを、BSCとEthereumの両ネットワークおよびMAP Protocolのメインネット上で停止したと発表しました。
関係するすべての取引所には、これらのトークンの預入と引き出しを無効にするよう通知済みです。ユーザーには、UniswapやPancakeSwapを含む分散型プラットフォームでの元のコントラクトに関連付けられたMAPOの取引を避けるよう警告されました。
新しいコントラクトアドレスが公開される予定です。適切と判断される日時にスナップショットが取られます。攻撃者が管理するアドレスに残っているトークン(この時点で数百億にのぼる)は、すべて変換や今後のスナップショットから完全に除外されます。
MAP Protocolはまた、X上で、PeckShieldによるこの事件の追跡を認める追補として、チームが侵害後に取引所やパートナーと調整を続けていることを示しました。次のステップ、スナップショットの詳細、新コントラクトについての公式声明が準備中です。
ブリッジの失敗は、2026年の暗号資産損失の不均衡な一因となっており、攻撃者は自動化と信頼の交差点を標的にし続けています。
ユーザーには、公式チャネルのみを利用するようにとプロジェクトから警告が出されています。非公式のガイダンスは完全に無視すべきだとチームは警告しています。