1 миллиард DOT был создан из ниоткуда, но хакер заработал только 230 000 долларов

Автор: Чжоу, ChainCatcher

13 апреля в 10:00 по пекинскому времени платформа мониторинга на блокчейне выпустила предупреждения: произошло аномальное эмитирование мостовых активов в сети Ethereum из Polkadot.
Согласно анализу CertiK, злоумышленник отправил тщательно подготовленный кросс-цепной запрос в контракт HandlerV1 на стороне Ethereum через протокол ISMP Hyperbridge, вместе с исторически принятым реальным доказательством MMR, успешно обойдя механизм проверки.

BlockSec Phalcon впоследствии выпустил техническое предупреждение, классифицировав эту уязвимость как уязвимость повторного воспроизведения доказательства MMR. Согласно их анализу, корень уязвимости заключается в том, что защита от повторного воспроизведения контракта HandlerV1 только проверяет, использовался ли хэш определенного запроса ранее, но процесс проверки доказательства не связывает отправленный полезный нагрузку запроса с проверенным доказательством.

Этот логический пробел позволил злоумышленнику воспроизвести исторически действительное доказательство и сопоставить его с вновь созданным злонамеренным запросом, тем самым выполняя операцию ChangeAssetAdmin через путь TokenGateway.onAccept(), передавая права администратора и эмитирования контракта обернутого DOT на Ethereum (адрес: 0x8d...8F90b8) на адрес, контролируемый злоумышленником.

Согласно данным на блокчейне, после получения прав на эмитирование злоумышленник эмитировал 1 миллиард мостовых DOT, что примерно в 2805 раз превышает сообщаемое обращение около 356 000 токенов на Ethereum в то время.

Впоследствии злоумышленник обменял все фишки на около 108,2 ETH через маршрутизатор Odos и ликвидный пул Uniswap V4, переведя их на внешний счет злоумышленника, реализовав прибыль около 237 000 долларов на основе цены в то время, при этом вся атака потребовала всего около 0,74 доллара на газовые сборы.

BlockSec Phalcon также упомянул, что ранее была атака с использованием того же метода, нацеленная на токены MANTA и CERE, в результате чего был потерян около 12 000 долларов. Общая потеря от обеих атак составила примерно 242 000 долларов.

После инцидента ведущие южнокорейские биржи Upbit и Bithumb объявили о приостановке услуг по депозитам и выводам для DOT и AssetHub сети Polkadot, чтобы предотвратить потенциальные риски подделки депозитов.

Официальные лица Polkadot заявили, что эта уязвимость затрагивает только DOT, переведенные в Ethereum через Hyperbridge, и не влияет на активы DOT в экосистеме Polkadot или DOT, переведенные через другие кросс-цепные мосты. Polkadot и его парачейны, а также родной DOT остаются в безопасности и не затронуты. В настоящее время Hyperbridge приостановлен для расследования проблемы.

Стоит отметить, что хотя масштаб эмитирования достиг 1 миллиарда, фактические потери были значительно ниже теоретической цифры. Из-за крайне ограниченной ликвидности на блокчейне обернутого DOT в Ethereum, сосредоточенная распродажа 1 миллиарда токенов мгновенно обрушила цену обернутого DOT с 1,22 доллара до 0,00012831 доллара, что составило падение на 99,98%, сделав большинство токенов неэффективными для ликвидации.

Согласно данным CoinMarketCap, цена родного токена DOT также на короткое время упала почти на 5% из-за рыночных настроений.

Пользователи на X откровенно заявили, кто бы мог подумать, что миф о кросс-цепочке DOT, который когда-то стоял рядом с Ethereum, так взорвется в социальных сетях. Кросс-цепочные мосты снова стали "ахиллесовой пятой" криптомира, превратившись из ранее игнорируемой области в сцену разрушений. Когда 1 миллиард DOT появился из ниоткуда, все технические индикаторы стали бесполезными.

Некоторые пользователи шутливо отметили, что низкая ликвидность спасла Polkadot в этот раз, сохранив фактические потери на уровне около 237 000 долларов.

Тем не менее, низкая ликвидность мостовых активов, хотя и ограничивала прибыль хакера, выявила потенциальные уязвимости слоя кросс-цепочной совместимости.

Сообщается, что Hyperbridge, разработанный Polytope Labs, является проектом кросс-цепочной совместимости в экосистеме Polkadot, который долгое время полагался на криптографические доказательства вместо многофакторных комитетов в качестве основного механизма безопасности, позиционируя себя как инфраструктуру с минимизированным доверием. Проект ранее подчеркивал свою устойчивость к распространенным атакам на мосты.

Но этот инцидент может указывать на то, что целостности механизма криптографического доказательства недостаточно для обеспечения безопасности; конкретная логика реализации контракта Gateway на стороне Ethereum также составляет поверхность атаки.

С более широкой точки зрения, этот инцидент отражает продолжающуюся серьезную ситуацию с безопасностью в DeFi с 2026 года. В этом году произошло несколько значительных атак, включая создание Venus 2,15 миллиона долларов плохого долга из-за манипуляций с ценами, избыточную эмиссию 80 миллионов USR от Resolve и взлом Drift на сумму более 285 миллионов долларов активов, с различными методами атак и широким спектром затронутых областей.

Захват прав на эмиссию для неограниченной эмиссии не является новой моделью атаки. Тем не менее, из-за крайне низкой ликвидности Hyperbridge потери неожиданно были минимизированы.

Согласно данным CertiK, в марте было зафиксировано 46 инцидентов безопасности, с общими потерями примерно 39,8 миллиона долларов, что стало самым высоким месячным рекордом с ноября 2024 года. CertiK также отметила, что частота эксплуатации уязвимостей кода возросла, возможно, в связи с ростом инструментов для обнаружения уязвимостей с помощью ИИ.

Рост частоты атак также побуждает индустрию пересмотреть границы безопасности и регулирования. Главный стратегический директор Circle Данте Диспарте ранее призвал протоколы, кошельки, биржи и эмитентов стейблкоинов рассматривать безопасность и ответственность как общее обязательство в ответ на инцидент кражи протокола Drift, предложив, чтобы протоколы DeFi могли разработать технические меры защиты на блокчейне, ссылаясь на механизмы прерывания торгов на традиционном рынке, и продвигать соответствующее законодательство для включения стандартов защиты прав собственности и финансовой конфиденциальности в закон до того, как произойдет следующий крупный инцидент.