Polkadot 遭駭!駭客偽造權限鑄幣 10 億枚,拋售 DOT 得手 23 萬美元
區塊鏈安全機構 CertiK 今日指出,Hyperbridge 閘道器合約存在嚴重漏洞,攻擊者藉由偽造跨鏈訊息奪取以太坊上 Polkadot (DOT) 代幣合約管理員權限,鑄造 10 億枚代幣後迅速兌換為價值 23.7 萬美元的 ETH,造成 DOT 價格短時下跌近 4%。
(鏈上交易所 Drift Protocol 遭駭損失 2.8 億美元,Solana 生態恐出現連鎖反應?)
Hyperbridge 閘道器遭入侵,駭客偽造訊息奪取合約控制權
4 月 13 日,Polkadot 在以太坊上的橋接版代幣遭遇重大資安事件。區塊鏈安全機構 CertiK 發出警報,指出攻擊者針對跨鏈互操作協議 Hyperbridge 的閘道器合約發動攻擊,成功偽造跨鏈訊息,竊取以太坊上 DOT 代幣合約的管理員與鑄幣權限。
廣告 - 內文未完請往下捲動
CertiK 分析,攻擊者在單一交易中同時部署主合約與輔助合約,由輔助合約向存在漏洞的 HandlerV1 合約提交偽造的狀態證明,藉此繞過 Hyperbridge ISMP (可互操作狀態機協議) 的驗證機制。攻擊者隨後透過特定路徑執行惡意的「ChangeAssetAdmin」操作,將 DOT 代幣合約的完整控制權轉移至自身帳戶。
CertiK 指出,此次漏洞的根本原因在於 ISMP 流程對狀態證明的驗證機制不足,導致攻擊者得以對連接的代幣合約執行未經授權的治理操作。
一次交易鑄造 10 億枚 DOT 後拋售,獲利 108.2 ETH
取得鑄幣權限後,攻擊者隨即鑄造 10 億枚 wrapped DOT,相當於當時 35.6 萬枚流通供應量的 2,800 倍。鏈上追蹤平台 Lookonchain 記錄顯示,攻擊者在鑄幣完成後,於單筆交易中將全數代幣透過 OdosRouter 與 Uniswap V4 流動性池一次性拋售,兌換成 108.2 ETH,得手約 23.7 萬美元。
值得注意的是,此次攻擊僅波及在以太坊上流通的 wrapped DOT,並未影響 Polkadot 原生鏈或其上的 DOT 代幣原生地址。
儘管如此,消息傳出後市場仍出現恐慌,DOT 價格一度下跌逾 4% 至 1.16 美元,現已略微回穩。韓國兩大加密貨幣交易所 Upbit 與 Bithumb 也隨即宣布暫停 Polkadot 相關交易,以因應安全疑慮。
截至截稿時,Hyperbridge 與 Polytope Labs 均尚未發出任何官方聲明,亦未公布緊急應對措施、合約暫停機制或後續計畫。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
