SuperRare NFTアートプラットフォーム、73万ドル相当のRAREトークンがハッキング被害に遭う

SuperRare NFTアートプラットフォームがハッキング被害に遭う

トルネードキャッシュ（Tornado Cash）ユーザーが、NFTギャラリー企業SuperRare（スーパーレア）のステーキング契約をハッキングし、約73万ドル相当のRAREトークンを盗んだことが割った。

🚨ALERT🚨Our system has detected a malicious transaction targeting a @SuperRare staking contract.

The attacker’s address, funded via @TornadoCash approximately 186 days ago, executed the exploit and gained 731K worth of $RARE .

The stolen funds currently remain in the attacker’s… pic.twitter.com/9CZ6IG4b4B

— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) July 28, 2025

影響を受けたのはステーキング保管庫1つのみで、SuperRare上のNFT（非代替性トークン）は安全な状態だという。

コントラクトの認証ロジックの設定ミスにより、攻撃者はMerkleルートを操作し、適切な検証なしにトークンを取得。この脆弱性により、ハッカーは1回のトランザクションで11,907,874 RAREトークン（73万ドル相当）を自身のアドレスに送金できたとのことだ。

仮想通貨セキュリティアナリストのPeckshield（ペックシールド）がこの多額の損失に最初に気付き、攻撃者が186日前にトルネードキャッシュを使用。この動きは、資金の出所を隠蔽（いんぺい）し、検知を遅らせることを狙ったものと思われる。また、SlowMist（スローミスト）は、この脆弱性は「updateMerkleRoot関数」の権限チェックに欠陥があったことが原因で、ハッカーがステーキング契約を改ざんし、トークンを盗むことができたと主張している。

盗難されたトークンは事件以降、スワップやロンダリングされておらず、攻撃者のウォレットに保管され続けている。なお、SuperRareは迅速に対応し、影響を受けたアカウントを凍結し、サイバーセキュリティ企業と連携して調査を開始。さらに、第三者監査機関を招き、コードベース全体のレビューを実施しており、現時点では、トークンのエアドロップやハードフォークといった補償プランは発表されていない。

今インシデントは、ステーキング契約の脆弱性を悪用したもので、DeFi（分散型金融）とNFTインフラを取り巻く根深いリスクを改めて浮き彫りにし、ガバナンストークンメカニズムのセキュリティと暗号プロトコル全体の耐性について深刻な疑問を投げかけている。

トルネードキャッシュを取り巻く環境

SuperRareは、ニューヨークに複数の実店舗を持つNFTアート企業で、同社は2018年に設立されて以降、3億2,800万ドル（約486.8億円）以上の取引高を上げており、2021年にはRAREトークンを発行している。

米国で人気のリアリティ投資番組Shark Tank（シャーク・タンク）の司会者マーク・キューバン（Mark Cuban）氏は、偽のMetaMask（メタマスク）ウォレットアプリを知らずにダウンロードし、ウォレットから資金を流出させたことで、RAREトークンを含む87万ドル（約1.3億円）相当の仮想通貨を失っている。

今日の悪質な業者が再びトルネードキャッシュを利用し、不正に得た利益のロンダリングを試みる可能性はある。トルネードキャッシュは、仮想通貨取引の匿名化を目的として暗号資産プライバシー擁護者から高く評価されている一方で、違法に取得した仮想通貨をロンダリングしようとするハッカーにも人気がありたびたび問題視されている。現在米国で裁判中であり、この裁判の結果は言論の自由の権利を劇的に変える可能性があることから、高い関心が寄せられている。