Gnosis PayとTesseraDAOが攻撃を受け、6月の仮想通貨ハッキングが急増

2026年6月の最初の数日間で、仮想通貨ハッキングの増加リストにさらに2つの項目が加わりました。Gnosis Payという自己管理型仮想通貨カードプラットフォームと、BNB Chain上のトークンプロジェクトであるTesseraDAOという、市場の異なる部分が2つの別々のエクスプロイトに見舞われました。どちらの事件も小規模ではなく、両方とも今年を通じて増加している損失の集計に加わりました。

これらの攻撃は数日間のうちに発生し、2026年にはおなじみとなった手口を踏襲していました。一方は盗難を遅らせるための安全機能を標的にし、もう一方は古典的なミント＆ダンプスキームを使用し、その後、その収益をミキシングプロトコルを通じて経路を隠しました。何が起こったのかを平易な言葉で説明し、ユーザーがより安全に過ごすために取れる簡単な手順も併せて紹介します。

Gnosis Payに何が起こったのか

Gnosis Payは自己管理型仮想通貨カードを提供しており、これはユーザーが資金を中央の管理者に預けるのではなく、自分自身で管理しながら直接仮想通貨を使用できる製品です。ユーザーを保護するため、プラットフォームは「遅延モジュール」と呼ぶ機能を組み込みました。その考え方は単純です。外部への取引が要求された際、システムはそれが実行される前に3分間の待機時間を設けます。この短い一時停止は、資金が移動する前にユーザーが悪意のある、または誤った送金を検知し、キャンセルする時間を与えることを目的としています。

攻撃者はこの保護を迂回できるバグを発見しました。遅延モジュールを回避することで、攻撃者は最後の防衛線として機能するはずだった組み込みの待機期間なしに取引を実行することができました。時間遅延のようなセキュリティ機能は、攻撃者にとって摩擦を生み出すため、自己管理型製品全体で一般的ですが、この迂回はその設計の核となる約束を損なうものです。

TesseraDAOのエクスプロイト

TesseraDAOの事件は、金額的にも実行の積極性においてもより大規模でした。攻撃者はBNB Chain上で9900万TSRトークンをミントし、その後、それらを約250万ドルのUSDT（ドルペッグ型ステーブルコイン）と交換しました。新たに作成されたトークンが市場に大量に流入したことで、TSRの価格は約99パーセント暴落し、トークンの価値のほとんどがほぼ瞬時に失われました。

攻撃者はそこで止まりませんでした。現金化した後、攻撃者はBNB ChainからEthereumに資金をブリッジし、その後、資金の出所と行方を不明瞭にするために使用されるミキシングプロトコルであるTornado Cashを通じて約1,285.5 ETHを送金し、資金を洗浄しました。ミント、ダンプ、ブリッジ、洗浄という一連のステップが、この攻撃を効果的なものにしました。

ミント＆ダンプエクスプロイトの仕組み

大まかに言えば、ミント＆ダンプエクスプロイトは、攻撃者が何もないところから新しいトークンを作成できることに依存しています。スマートコントラクトに欠陥があるか、または誰かが大量のトークンをミントできる許可がある場合、その人物は一瞬前には存在しなかった膨大な数のトークンを突然保有することができます。

次のステップはダンプです。攻撃者は、新しくミントされたトークンを素早く市場に売り出し、多くの場合、ステーブルコインや他の実価値のある資産と交換します。市場には限られた流動性しかないため、大量の供給をダンプすると価格が急激に下落し、TSRが約99パーセント下落した理由もこれです。攻撃者は価値のある資産を手にして立ち去り、一般の保有者は支払った金額のほんの一部しか価値のないトークンを残されます。

ミキサーを通じた資金洗浄の仕組み

攻撃者が価値のある資金を手に入れたら、目標は足跡を隠すことに移ります。公開ブロックチェーンはすべての取引を記録するため、誰でも資金をあるアドレスから次へと追跡できます。Tornado Cashのようなミキシングプロトコルは、その目に見える連鎖を断ち切るように設計されています。簡単に言えば、ミキサーは多くの異なるソースからの預金をプールし、特定の引き出しを特定の預金に結びつけるのを困難にする方法でユーザーが資金を引き出せるようにします。

ブリッジングはさらに別の層を追加します。BNB ChainからEthereumに資金を最初に移動させることで、攻撃者はミキシングする前にネットワーク間で資金を移動させ、追跡をさらに複雑にします。これらは不正行為の手引きではありません。単に、捜査官が盗まれた資金がブリッジとミキサーを通過した後、その行方を見失うことが多い理由を説明しているだけです。

2026年におなじみのパターン

TesseraDAO攻撃は、今年繰り返し現れたパターン、すなわちミント、ダンプ、ブリッジ、洗浄というパターンを踏襲していました。各段階は攻撃者にとって異なる問題を処理します。ミントは資産を作成し、ダンプはそれらを有用なものに変換し、ブリッジは現場から移動させ、洗浄は目的地を隠します。

より広範な状況は厳しいものです。2026年を通じて、ハッカーは数億ドルを含む多額の資金をクロスチェーンブリッジから流出させてきました。クロスチェーンブリッジはネットワーク間に位置し、プールされた資産を保持しているため、魅力的な標的となります。Gnosis PayとTesseraDAOのエクスプロイトは、安全モジュールであろうとトークンコントラクトのミント許可であろうと、攻撃者が繰り返し弱点を見つけて利用してきた年における、さらなる2つのデータポイントです。

安全を保つ方法

ユーザーはすべてのエクスプロイトを防ぐことはできませんが、いくつかの習慣でリスクを減らすことができます。偽のクローンが一般的であるため、ウォレットを接続したり認証情報を入力したりする前に、必ず公式のアプリまたはウェブサイトを使用していることを確認してください。新規または流動性の低いトークンには注意が必要です。そこでは一度の大量売却で価格が劇的に変動する可能性があり、コントラクトのリスク評価も困難です。

突然の供給量の変化に注意してください。明確に発表された理由なしに総供給量が急増するトークンは、ミントエクスプロイトが進行中であることの警告サインとなる可能性があります。オンチェーンデータを表示するツールが役立ちます。取引する前に、DEXToolsのようなプラットフォームでトークンの供給量と流動性を確認することで、購入しようとしているもののより明確な全体像を把握できます。これらは金融アドバイスではありませんが、少しの確認が大きな違いを生みます。

結論

Gnosis PayとTesseraDAOのエクスプロイトは、同じ問題の二つの側面を示しています。一方の攻撃はユーザーを保護するために構築された機能を打ち破り、もう一方はコントラクトの欠陥を約250万ドルに変え、ブリッジとミキサーを通じて姿を消しました。2026年のハッキング件数が上昇し続ける中、基本的な教訓は変わりません。使用するものを確認し、なじみのないトークンには警戒し、早期に問題を示す可能性のあるオンチェーンデータに注意を払ってください。