Retour à l'accueil

Exploitation Hyperbridge : Décomposition de la vulnérabilité ISMP

Attaque sur Hyperbridge a exploité une vérification faible des preuves d'état dans ISMP, permettant la frappe de 1 milliard de DOT bridge sur Ethereum. Dommages limités à $237k en raison de faible liquidité. Recommandations : séparation des privilèges, vérifications complètes des preuves, gouvernance pour les actions admin.

Comment Hyperbridge a été piraté : 1 milliard de DOT et $237k
Advertisement 728x90

Exploitation Hyperbridge : Preuves d'état falsifiées pour minting DOT sur Ethereum

L'attaquant a exploité le Protocole de Machine d'État Interopérable (ISMP) dans Hyperbridge pour déployer un contrat maître et un contrat auxiliaire en une seule transaction. Le contrat auxiliaire a envoyé de fausses preuves d'état à HandlerV1 (0x6c8…4E6D64). La vérification des preuves a échoué, permettant un appel à TokenGateway.onAccept() et l'exécution de ChangeAssetAdmin sur le contrat DOT (0x8d…8F90b8).

Conséquences : L'attaquant a pris le contrôle des droits d'administrateur et de minter, en mintant 1 milliard de DOT — soit 2 805 fois l'offre en circulation (356 k tokens). Les tokens ont été échangés via OdosRouter et les pools Uniswap V4 contre 108,2 ETH (237 k $).

Cause racine : Vérification faible des preuves d'état dans ISMP — contrôle de la structure sans lien cryptographique avec l'état de la chaîne.

Google AdInline article slot

Hyperbridge : Cryptographie au lieu de multisigs

Hyperbridge, développé par Polytope Labs, vérifie les états cross-chain grâce à des preuves de finalité de blocs dans des smart contracts. Il abandonne les validateurs de confiance au profit de mathématiques pures. L'authentification se concentre sur le consensus, ignorant la réputation des signataires.

Malgré cette promesse, l'implémentation de HandlerV1 a laissé passer la falsification. L'attaque n'a pas touché Polkadot natif ni sa relay chain — seulement les DOT bridgés sur Ethereum.

Étapes de l'attaque en détail

  • Déploiement des contrats maître et auxiliaire.
  • Envoi de fausses preuves d'état à HandlerV1.
  • Appel à TokenGateway.onAccept()ChangeAssetAdmin.
  • Minting de 1 milliard de DOT.
  • Échange via OdosRouter/Uniswap V4 contre ETH.

Tests antérieurs : Le même vecteur avait vidé 12 k $ de MANTA et CERE.

Google AdInline article slot

Pourquoi les dégâts ont été limités

La liquidité des pools a plafonné les profits : les DOT bridgés ont chuté de 1,22 $ à moins de 0,01 ¢. Le DOT natif a baissé de 4,8 % à 1,16 $. La panique provenait du volume minté, non d'un vrai préjudice économique.

Recommandations pour les développeurs cross-chain

  • Séparation des privilèges : Ne laissez pas les appels cross-chain modifier seuls les droits de minter. Ajoutez des timelocks ou multisigs Ethereum.
  • Vérification complète des preuves : Vérifiez non seulement le format, mais la validité cryptographique de la source.
  • Limites sur les actions admin : Exigez gouvernance, limites de taux ou confirmations supplémentaires pour ChangeAssetAdmin.
  • Liquidité comme risque : La faible liquidité a sauvé la mise ici, mais avec 50 M $ dans un pool, ce serait catastrophique.

Enseignements clés

  • Défaillance dans l'implémentation ISMP, pas dans la crypto de consensus.
  • Détournement du minter via preuves falsifiées sans contrôles supplémentaires.
  • Impact financier minime grâce aux pools Uniswap peu liquides.
  • Attaques mineures antérieures avaient testé le scénario.
  • Polkadot natif indemne ; seuls les tokens bridgés touchés.

Le projet vantait une sécurité post-audit (avec une prime de 250 k $ en 2025), mais la faille a émergé plus tard. Pas de communiqué officiel de Polytope Labs pour l'instant.

— Editorial Team

Google AdInline article slot
Advertisement 728x90

Lire ensuite