Polkadot Hyperbridge April Fools’ joke comes true as over 1 Billion fake DOT tokens were minted on Ethereum
Шутка о Polkadot Hyperbridge, придуманная на 1 апреля, стала реальностью: на Ethereum было выпущено более 1 миллиарда поддельных токенов DOT.
Сделайте CryptoSlate предпочтительным в Google (открывается в новой вкладке)
Hyperbridge, децентрализованный мост, соединяющий экосистему Polkadot с сетью Ethereum, подвергся серьезному взлому безопасности, который позволил злоумышленнику создать 1 миллиард несанкционированных токенов DOT.
Однако потенциальная многомиллионная прибыль хакера была резко сокращена примерно до 240 000 долларов США, поскольку просто не было достаточной ликвидности для обналичивания созданных активов.
Хотя прямые финансовые потери от взлома были относительно небольшими, этот инцидент вызвал волнения в экосистеме Polkadot, что привело к снижению цены нативного токена DOT сети до исторического минимума, что связано с общими опасениями на рынке по поводу безопасности межсетевых операций.
Анализ взлома Hyperbridge
Эксперты по безопасности объяснили, что уязвимость заключалась в том, как контракты Hyperbridge проверяли входящие межсетевые сообщения, прежде чем передавать их в токеновый шлюз.
Компания BlockSec Phalcon выявила основную причину как "уязвимость повторного использования доказательства Merkle Mountain Range (MMR)". Это, по сути, криптографическая уязвимость, которая позволила злоумышленнику повторно использовать старые, действительные доказательства безопасности и прикреплять их к вредоносным, специально созданным запросам.
В основе взлома отсутствовала проверка входных данных внутри функции системы VerifyProof(). В стандартных межсетевых операциях мост должен проверять, является ли запрос, поступающий из одного блокчейна, подлинным, прежде чем выполнять соответствующее действие, такое как выпуск токенов, в другом.
В данном случае контракт Hyperbridge не смог должным образом связать переданную полезную нагрузку запроса с проверенным доказательством. Система просто проверяла, не использовался ли ранее хеш запроса, не проверяя, соответствует ли доказательство сообщению, которое оно должно было аутентифицировать.
Манипулируя параметрами индекса, злоумышленник обошел основное вычисление системы. Это несоответствие позволило хакеру подделать действительное межсетевое сообщение, повысить свои привилегии до статуса администратора и заставить контракт выпустить 1 миллиард токенов DOT на Ethereum.
Тем временем, основная эмиссия токенов была предшествована первоначальной, менее заметной атакой. Аналитик блокчейна Specter отметил, что примерно за час до массовой фальсификации DOT, злоумышленник воспользовался связанным контрактом TokenGateway для вывода 245 ETH, что составляет примерно 537 000 долларов США.
Эксплойт платформы Hyperliquid, работающей на Polkadot (Источник: Specter)
Эти средства были быстро разделены, распределены по 15 отдельным адресам кошельков порциями примерно по 16,4 ETH и отмыты через протокол конфиденциальности Tornado Cash.
Как низкая ликвидность смягчила ущерб
Хотя эмиссия 1 миллиарда токенов обычно сигнализирует о катастрофическом событии, способном уничтожить протокол, злоумышленник был остановлен самой механикой децентрализованных финансов: ликвидностью рынка.
Когда хакер крадет активы, он обычно обменивает их на автоматизированный маркет-мейкер (AMM) на пул ликвидности для получения более ликвидного и стабильного актива, такого как Ethereum или стейблкоин. Пул ликвидности устанавливает цены на активы на основе соотношения токенов, содержащихся в нем.
В данном сценарии пул bridged DOT на Ethereum был относительно неглубоким. Когда злоумышленник попытался сбросить 1 миллиард поддельных токенов в пул, чтобы получить ETH, огромный объем ордера на продажу немедленно превысил доступную ликвидность.
В результате алгоритм, пересчитывающий соотношение, резко снизил цену bridged DOT с 1,22 доллара США до ничтожно малых значений в миллисекунды.
Поскольку рынок не смог поглотить огромный объем ордера по стабильным ценам, прибыль злоумышленника была серьезно ограничена.
Компания Arkham Intelligence, занимающаяся анализом блокчейна, сообщила, что хакер смог извлечь из пула ликвидности DOT только около 240 000 долларов США в ETH.
В то же время, если бы уязвимость была использована в более глубоком пуле или с более ценным активом, привязанным к сети, финансовый ущерб был бы значительно больше.
От шутки на 1 апреля до реальности
Тем временем, этот недавний взлом несет в себе большую иронию для команды разработчиков Hyperbridge, произошедший менее чем через две недели после того, как проект опубликовал шутку на 1 апреля о том, что он стал жертвой катастрофического взлома.
1 апреля официальные каналы Hyperbridge опубликовали фиктивный отчет об инциденте, в котором сообщалось о взломе на сумму 37 миллионов долларов США в сетях Ethereum, Arbitrum и Base.
В поддельном сообщении винили вымышленную хакерскую группу "Lazarus Group" из Северной Кореи, "нелояльных" агентов искусственного интеллекта и даже квантовые вычисления. В сообщении даже пошутили, что внешние аудиторы пытались предупредить команду, но разработчики были в отпуске, ели шоколадные батончики KitKat, празднуя рождение ребенка у одного из инженеров.
В то время проект отмахнулся от критики сообщества, вызванной этим шуткой, и публично хвастался тем, что их основное сообщество знает, что протокол "невозможно взломать".
Эта самоуверенность исчезла к моменту публикации, поскольку разработчикам протокола пришлось остановить работу платформы в режиме реального времени.
Компания Parity Technologies,, основная компания-разработчик экосистемы Polkadot, быстро вмешалась, чтобы справиться с последствиями. Компания объяснила, что уязвимость была строго локализована в контракте Ethereum-шлюза Hyperbridge.
CryptoSlate Daily Brief
Ежедневные сигналы, ноль шума.
Важные новости и контекст, представленные каждое утро в кратком обзоре.
Краткий обзор за 5 минут, более 100 000 читателей.
Адрес электронной почты
Получить обзор
Бесплатно. Без спама. Отписаться в любое время.
Ой, похоже, возникла проблема. Пожалуйста, попробуйте еще раз.
Вы подписаны. Добро пожаловать на борт.
Компания добавила, что основная сеть Polkadot, ее подключенные парачейны и нативные токены DOT остались полностью защищенными и не были затронуты взломом.
Опасения заражения толкают Polkadot к историческим минимумам
Несмотря на то, что основная блокчейн Polkadot не была скомпрометирована, психологическое воздействие эксплуатации ее наиболее важного моста оказало серьезное влияние на ее нативную валюту.
После новостей о взломе данные, предоставленные CryptoSlate, показали, что нативная криптовалюта DOT Polkadot упала на 5% в начале азиатской торговой сессии в понедельник, опустившись до отметки 1,14 доллара.
Это падение приближает актив к его историческому минимуму в 1,13 доллара. Токен находится в жестовой нисходящей спирали, потеряв примерно 70% своей стоимости за последний год на фоне общего спада на рынке криптовалют и снижения интереса розничных инвесторов к традиционным альтернативным сетям первого уровня.
Для экосистемы Polkadot эксплуатация Hyperbridge является наихудшим сценарием с точки зрения рыночной конъюнктуры.
Даже несмотря на то, что разработчики подчеркивают техническое различие между уязвимым сторонним контрактом Ethereum и безопасной основной сетью Polkadot, розничные инвесторы часто воспринимают бренд как единое целое.
Пока кросс-чейн-инфраструктура не достигнет того же уровня безопасности, что и лежащие в ее основе блокчейны, подобные инциденты будут продолжать подрывать уверенность на рынке.
Мосты остаются самым слабым звеном в Web3
Тем временем, инцидент с Hyperbridge подчеркивает устойчивую и системную уязвимость в децентрализованных финансах: межсетевые мосты по своей природе являются хрупкими.
В экосистеме Web3 мосты являются важной инфраструктурой. Они позволяют различным, изолированным блокчейнам взаимодействовать, предлагая пользователям большую гибкость, более низкие комиссии и доступ к более широкому спектру децентрализованных приложений.
Однако, для функционирования, эти мосты должны хранить огромные резервы заблокированных активов на одной стороне, чтобы выпускать соответствующие "обернутые" активы на другой.
Поскольку эти протоколы по сути являются огромными "ловушками" для хакеров, управляемыми сложными смарт-контрактами, они представляют собой наиболее привлекательную цель для киберпреступников.
Если хакер может скомпрометировать закрытые ключи валидаторов моста или, как в случае с Hyperbridge, использовать уязвимость в коде смарт-контракта, он может получить административный контроль и вывести основные активы или создать бесконечную эмиссию.
Стоит отметить, что история криптовалют полна разрушительных атак на мосты. В марте 2022 года мост Ronin Network, созданный для игровой экосистемы Axie Infinity, был обнулен, и было украдено более 600 миллионов долларов в одной из крупнейших краж в истории криптовалют.
Позднее в том же году межсетевой мост BNB Chain стал жертвой уязвимости в коде, что привело к несанкционированному созданию 2 миллионов токенов BNB, что составляет примерно 566 миллионов долларов. Другие катастрофические взломы включают в себя взлом Wormhole на сумму 321 миллион долларов и взлом моста Nomad на сумму 190 миллионов долларов.
Опубликовано в
Главные новости DeFi Культура Взломы Polkadot
Контекст
Связанные материалы
Переключите категории, чтобы углубиться в тему или получить более широкий контекст.
PolkadotПоследние новостиВзломыГлавная категорияПресс-релизы
Отказ от ответственности
Мнения наших авторов являются исключительно их личными и не отражают позицию CryptoSlate. Никакая информация, которую вы читаете на CryptoSlate, не должна рассматриваться как инвестиционная рекомендация, и CryptoSlate не поддерживает ни один проект, который может быть упомянут или связан со статьей. Покупка и торговля криптовалютами должны рассматриваться как деятельность, связанная с высоким риском. Пожалуйста, проведите собственное исследование, прежде чем предпринимать какие-либо действия, связанные с содержанием этой статьи. Наконец, CryptoSlate не несет ответственности, если вы потеряете деньги, торгуя криптовалютами. Для получения дополнительной информации, посетите раздел отказ от ответственности на нашем сайте.