1 мільярд DOT було викарбувано з повітря, але хакер заробив лише 230 000 доларів

Автор: Чжоу, Ланцюговий Ловець

13 квітня о 10:00 за пекінським часом платформа моніторингу в мережі опублікувала сповіщення: у мережі Ethereum відбувся аномальний випуск бриджових активів від Polkadot.
Згідно з аналізом CertiK, зловмисник надіслав ретельно сформований кросчейн-запит до контракту HandlerV1 на стороні Ethereum через протокол ISMP Hyperbridge разом з історично прийнятим доказом реального MMR, успішно обійшовши механізм перевірки.

Згодом BlockSec Phalcon випустила технічне сповіщення, класифікувавши цю вразливість як вразливість повторного відтворення, захищену від MMR. Згідно з їхнім аналізом, корінь вразливості полягає в тому, що захист від повторного відтворення контракту HandlerV1 перевіряє лише те, чи хеш певного запиту використовувався раніше, але процес перевірки доказів не прив'язує надіслане корисне навантаження запиту до перевіреного доказу.

Цей логічний пробіл дозволив зловмиснику відтворити історично достовірний доказ і поєднати його з новоствореним шкідливим запитом, таким чином виконавши операцію ChangeAssetAdmin через шлях TokenGateway.onAccept(), передавши права адміністрування та мінтингу обгорнутого контракту DOT на Ethereum (адреса: 0x8d...8F90b8) на адресу, контрольовану зловмисником.

Згідно з даними блокчейну, після отримання прав на карбування зловмисник випустив 1 мільярд бриджових DOT, що приблизно в 2805 разів перевищувало заявлену кількість близько 356 000 цього токена в обігу на Ethereum на той час.

Згодом зловмисник обміняв усі фішки приблизно на 108,2 ETH через пул ліквідності Odos Router та Uniswap V4, перевівши їх на зовнішній рахунок зловмисника, отримавши прибуток у розмірі близько 237 000 доларів США, виходячи з ціни на той час, при цьому вся атака витратила лише близько 0,74 долара США на комісію за бензин.

BlockSec Phalcon також згадав, що раніше вже була атака з використанням того ж методу, спрямована на токени MANTA та CERE, що призвело до втрати близько 12 000 доларів. Загальні збитки від обох нападів склали приблизно 242 000 доларів США.

Після інциденту провідні південнокорейські біржі Upbit та Bithumb оголосили про призупинення послуг з депозитів та виведення коштів для мережі DOT та AssetHub Polkadot, щоб запобігти потенційним ризикам фальшивих депозитів.

Представники Polkadot заявили, що ця вразливість впливає лише на DOT, з'єднані з Ethereum через Hyperbridge, і не впливає на активи DOT в екосистемі Polkadot або DOT, що передаються через інші кросчейн-мости. Polkadot та його парачейни, а також рідний DOT, залишаються безпечними та не зазнають змін. Наразі роботу Hyperbridge призупинено для розслідування проблеми.

Варто зазначити, що хоча масштаб карбування досяг 1 мільярда, фактичні втрати були набагато меншими за теоретичну цифру. Через надзвичайно обмежену ліквідність обгорнутого DOT в мережі Ethereum, концентрований розпродаж 1 мільярда токенів миттєво обвалив ціну обгорнутого DOT з $1,22 до $0,00012831, що становить падіння на 99,98%, що зробило більшість токенів неефективними для ліквідації.

Згідно з даними CoinMarketCap, ціна рідного токена DOT також ненадовго впала майже на 5% через настрої ринку.

Користувачі X відверто заявили, що хто б міг подумати, що міф про крос-чейн DOT, який колись існував поруч з Ethereum, так вибухне в соціальних мережах. Перехресні ланцюгові мости знову стали «ахіллесовою п'ятою» криптосвіту, перетворившись з раніше занедбаної області на місце спустошення. Коли нізвідки з'явився 1 мільярд DOT, усі технічні індикатори втратили свою цінність.

Деякі користувачі жартома зазначили, що цього разу низька ліквідність врятувала Polkadot, завдяки чому фактичні збитки склали близько 237 000 доларів.

Однак низька ліквідність активів, пов'язаних через мости, хоча й обмежувала прибутки хакерів, виявила потенційні вразливості рівня взаємодії між блокчейнами.

Повідомляється, що Hyperbridge, розроблений Polytope Labs, — це проект крос-чейн-сумісності в екосистемі Polkadot, який довгий час покладався на криптографічні докази замість комітетів з кількома підписами як основний механізм безпеки, позиціонуючи себе як крос-чейн-інфраструктуру з мінімізованою довірою. Раніше проєкт наголошував на своїй стійкості до поширених атак на мости.

Але цей інцидент може свідчити про те, що цілісності механізму криптографічного доказу самої по собі недостатньо для забезпечення безпеки; специфічна логіка реалізації контракту Gateway на стороні Ethereum також створює поверхню для атаки.

З ширшої точки зору, цей інцидент відображає серйозну безпекову ситуацію в DeFi, яка триває з 2026 року. Цього року сталося кілька значних атак, зокрема, Venus згенерувала безнадійну заборгованість на суму 2,15 мільйона доларів через маніпуляції цінами, Resolve перевитратила 80 мільйонів американських рупій, а Drift був зламаний на активи на суму понад 285 мільйонів доларів, використовуючи різні методи атаки та широкий спектр уражених областей.

Захоплення прав на карбування для необмеженого випуску не є новою моделлю атаки. Однак, через надзвичайно низьку ліквідність Гіпермосту, збитки були несподівано мінімізовані.

Згідно з даними CertiK, лише у березні було зареєстровано 46 інцидентів безпеки, загальні збитки яких склали приблизно 39,8 мільйона доларів, що є найвищим місячним рекордом з листопада 2024 року. CertiK також зазначив, що частота використання вразливостей коду зросла, можливо, пов'язано з поширенням інструментів виявлення вразливостей за допомогою штучного інтелекту.

Зростання частоти атак також спонукає галузь переглянути межі безпеки та регулювання. Директор зі стратегії Circle Данте Діспарте раніше закликав протоколи, гаманці, біржі та емітентів стейблкоїнів розглядати безпеку та підзвітність як спільне зобов'язання у відповідь на інцидент з крадіжкою Drift Protocol, припускаючи, що DeFi-протоколи можуть розробити заходи технічного захисту в мережі, що посилатимуться на традиційні механізми ринкового вимикача, та сприяти прийняттю відповідного законодавства для включення прав власності та стандартів захисту фінансової конфіденційності до законодавства, перш ніж станеться наступний великий інцидент.