Podatność Hyperbridge: sfałszowano miliard tokenów DOT na Ethereum
Atakujący wykorzystał błąd w kontrakcie mostu Hyperbridge łączącego Polkadot i Ethereum, tworząc miliard podrabianych tokenów DOT i osiągając zysk w wysokości 237 tysięcy dolarów. Incydent nie wpłynął bezpośrednio na główną sieć Polkadot, ale spowodował tymczasowe ograniczenia operacji na kryptowalutowych giełdach.
Mechanizm wykorzystania podatności
Błąd w inteligentnym kontrakcie bramki umożliwił hakerowi podszywanie się pod wiadomości serwisowe, co otworzyło dostęp do funkcji administracyjnych tokena DOT na Ethereum. Po przejęciu kontroli, napastnik wyemitował 1 miliard tokenów, symulujących środki przekazane z Polkadot. Aktywa te zostały natychmiast sprzedane, powodując załamania cen z 1,22 dolara do minimalnych poziomów.
Analiza przeprowadzona przez Onchain Lens ujawniła sekwencję działań: najpierw zarządzanie kontraktem zostało przekazane adresowi atakującego, a następnie nastąpiła masowa emisja i sprzedaż aktywów. Jest to typowy scenariusz eksploatacji w DeFi, gdzie niewystarczająca weryfikacja wiadomości między sieciami generuje ryzyko.
Skutki dla rynku i użytkowników
Choć główna sieć Polkadot pozostała nietknięta, cena DOT spadła o 4% — z 1,22 do 1,18 dolara — z powodu ogólnego niepokoju na rynku. Południowokoreańskie platformy Upbit i Bithumb zawiesiły operacje z DOT, powołując się na środki ostrożności. Hyperbridge został całkowicie wyłączony, a zespół Polkadot prowadzi dochodzenie we współpracy z ekspertami.
Zysk atakującego: ~237 000 USD
Wyemitowane tokeny: 1 miliard DOT
Spadek ceny DOT: 4%
Dotknięte giełdy: Upbit, Bithumb
Kontekst bezpieczeństwa międzyblokowych mostów
Mosty takie jak Hyperbridge rozwiązują problem interoperacyjności blockchainów, umożliwiając przenoszenie aktywów między odseparowanymi sieciami. Jednak często stają się celem z powodu trudności w weryfikacji transakcji cross-chain. Według danych CertiK, tego typu podatności wynikają z błędów w przetwarzaniu wiadomości, co może prowadzić do niekontrolowanej emisji.
W ciągu ostatnich lat miało miejsce kilka incydentów: Ronin Bridge stracił 625 milionów dolarów w 2022 roku, Wormhole — 325 milionów. Takie przypadki podważają zaufanie do DeFi, zachęcając do rozwoju bezpieczniejszych protokołów, w tym wielopodpisów i dowodów zero-wiedzy (zero-knowledge proofs).
Co warto wiedzieć
- Eksploit dotyczył wyłącznie wersji DOT na Ethereum poprzez Hyperbridge — główna sieć Polkadot jest bezpieczna.
- Audytorzy z CertiK wskazali podszywanie się pod wiadomości serwisowe jako główną przyczynę.
- Zysk hakera — 237 tys. dolarów — pokazuje ryzyko nawet lokalnych luk.
- Giełdy Upbit i Bithumb wprowadziły ograniczenia w celu ochrony użytkowników.
- Przypadek przyspiesza branżowe inwestycje w bezpieczeństwo mostów.
Wpływ na branżę i perspektywy
Ten przypadek podkreśla potrzebę rygorystycznych audytów mostów łączących ekosystemy takie jak Polkadot i Ethereum. Deweloperzy skupiają się teraz na zdecentralizowanych weryfikatorach i limitach emisji. Dla użytkowników kluczowe jest śledzenie oficjalnych komunikatów oraz unikanie niezweryfikowanych rozwiązań.
W dłuższej perspektywie incydenty te przyczyniają się do ewolucji technologii: Polkadot wzmacnia protokół XCM na rzecz bezpieczniejszego transferu cross-chain. Łączna wartość środków skradzionych z mostów przekroczyła 2 miliardy dolarów od 2021 roku, co stymuluje inwestycje w bezpieczeństwo na poziomie 1–2% TVL protokołów.
— Editorial Team
Brak komentarzy.