Foram criados 1 bilhão de DOT do nada, mas o hacker só ganhou 230 000 dólares

Autor: Zhou, ChainCatcher

No dia 13 de abril, às 10h00, hora de Pequim, a plataforma de monitorização on-chain emitiu alertas: verificou-se uma emissão anómala de ativos transferidos da rede Polkadot para a rede Ethereum.
De acordo com uma análise da CertiK, o atacante enviou um pedido entre cadeias cuidadosamente elaborado ao contrato HandlerV1 no lado da Ethereum através do protocolo ISMP da Hyperbridge, juntamente com uma prova MMR real historicamente aceite, conseguindo contornar com sucesso o mecanismo de verificação.

A BlockSec Phalcon publicou posteriormente um alerta técnico, classificando esta vulnerabilidade como uma vulnerabilidade de repetição de prova MMR. De acordo com a sua análise, a origem da vulnerabilidade reside no facto de a proteção contra repetição do contrato HandlerV1 verificar apenas se o hash de um determinado pedido já foi utilizado anteriormente, mas o processo de verificação da prova não vincula a carga útil do pedido enviado à prova verificada.

Esta falha lógica permitiu ao atacante reproduzir uma prova historicamente válida e associá-la a um pedido malicioso recém-criado, executando assim a operação ChangeAssetAdmin através do caminho TokenGateway.onAccept(), transferindo os direitos de administração e de cunhagem do contrato DOT encapsulado na Ethereum (endereço: (0x8d...8F90b8) para um endereço controlado pelo atacante.

De acordo com dados da cadeia de blocos, após obter os direitos de cunhagem, o atacante cunhou 1 bilhão de DOT transferidos, o que correspondia a aproximadamente 2805 vezes a oferta circulante declarada de cerca de 356 000 desses tokens na Ethereum naquele momento.

Posteriormente, o atacante trocou todos os tokens por cerca de 108,2 ETH através do Odos Router e do pool de liquidez da Uniswap V4, transferindo-os para a sua conta externa e obtendo um lucro de cerca de 237 000 dólares com base no preço da altura, tendo todo o ataque consumido apenas cerca de 0,74 dólares em taxas de gás.

A BlockSec Phalcon referiu ainda que já se tinha registado um ataque anterior utilizando o mesmo método, que teve como alvo os tokens MANTA e CERE, resultando numa perda de cerca de 12 000 dólares. O prejuízo total resultante de ambos os ataques ascendeu a aproximadamente 242 000 dólares.

Após o incidente, as principais bolsas sul-coreanas Upbit e Bithumb anunciaram a suspensão dos serviços de depósito e levantamento para a rede DOT e AssetHub Polkadot, a fim de prevenir potenciais riscos de depósitos falsos.

Os responsáveis da Polkadot afirmaram que esta vulnerabilidade afeta apenas os DOT transferidos para a Ethereum através da Hyperbridge e não tem impacto nos ativos DOT dentro do ecossistema Polkadot nem nos DOT transferidos através de outras pontes entre cadeias. A Polkadot e as suas parachains, bem como a moeda nativa DOT, continuam seguras e não foram afetadas. Atualmente, o Hyperbridge foi suspenso para que se investigue o assunto.

Vale a pena referir que, embora a escala de emissão tenha atingido 1 bilhão, a perda real foi muito inferior ao valor teórico. Devido à liquidez extremamente limitada na cadeia do wrapped DOT na Ethereum, a venda massiva de mil milhões de tokens fez com que o preço do wrapped DOT descesse instantaneamente de 1,22 $ para 0,00012831 $, uma queda de 99,98%, tornando a maioria dos tokens inutilizáveis para liquidação.

De acordo com os dados da CoinMarketCap, o preço do token nativo DOT também registou uma queda momentânea de quase 5% devido ao sentimento do mercado.

Os utilizadores do X afirmaram com franqueza que quem diria que o DOT, o mito das cadeias cruzadas que outrora se equiparava à Ethereum, iria causar tanto furor nas redes sociais desta forma. As pontes entre cadeias voltaram a tornar-se o «calcanhar de Aquiles» do mundo das criptomoedas, passando de uma área anteriormente negligenciada para um cenário de devastação. Quando 1 bilhão de DOT surgiu do nada, todos os indicadores técnicos perderam o seu valor.

Alguns utilizadores comentaram, em tom de brincadeira, que a baixa liquidez salvou a Polkadot desta vez, mantendo a perda real em cerca de 237 000 dólares.

No entanto, a baixa liquidez dos ativos transferidos, embora tenha limitado os lucros do hacker, expôs as potenciais vulnerabilidades da camada de interoperabilidade entre cadeias.

Segundo informações, o Hyperbridge, desenvolvido pela Polytope Labs, é um projeto de interoperabilidade entre cadeias no ecossistema Polkadot, que há muito se baseia em provas criptográficas, em vez de comités de assinaturas múltiplas, como mecanismo central de segurança, posicionando-se como uma infraestrutura entre cadeias com confiança minimizada. O projeto já tinha destacado a sua resistência a ataques comuns de tipo «bridge».

Mas este incidente pode indicar que a integridade do mecanismo de prova criptográfica, por si só, não é suficiente para garantir a segurança; a lógica de implementação específica do contrato Gateway no lado da Ethereum também constitui uma superfície de ataque.

Numa perspetiva mais ampla, este incidente reflete a grave situação de segurança que se vive no setor DeFi desde 2026. Este ano ocorreram vários ataques de grande repercussão, incluindo o caso da Venus, que gerou 2,15 milhões de dólares em dívidas incobráveis devido à manipulação de preços, o da Resolve, que emitiu em excesso 80 milhões de USR, e o da Drift, que foi alvo de um ataque cibernético que resultou na perda de mais de 285 milhões de dólares em ativos, com diversos métodos de ataque e uma ampla variedade de áreas afetadas.

A apropriação dos direitos de cunhagem para uma emissão ilimitada não é um modelo de ataque novo. No entanto, devido à liquidez extremamente reduzida da Hyperbridge, as perdas foram inesperadamente minimizadas.

De acordo com dados da CertiK, registaram-se 46 incidentes de segurança só no mês de março, com perdas totais de aproximadamente 39,8 milhões de dólares, o que representa o valor mensal mais elevado desde novembro de 2024. A CertiK salientou também que a frequência da exploração de vulnerabilidades de código aumentou, o que poderá estar relacionado com o aumento das ferramentas de deteção de vulnerabilidades assistidas por IA.

O aumento da frequência dos ataques está também a levar o setor a reavaliar os limites da segurança e da regulamentação. Dante Disparte, Diretor de Estratégia da Circle, apelou anteriormente para que os protocolos, as carteiras, as bolsas e os emissores de stablecoins encarassem a segurança e a responsabilização como uma obrigação comum, em resposta ao incidente de roubo do Drift Protocol, sugerindo que os protocolos DeFi poderiam desenvolver medidas de proteção técnicas na cadeia de blocos, inspiradas nos mecanismos tradicionais de «circuit breaker» do mercado, e promover legislação relevante para incorporar na lei normas de proteção dos direitos de propriedade e da privacidade financeira antes que ocorra o próximo incidente grave.