Exploatering av Polkadot Tokens
En exploatering som ledde till minting av 1 miljard wrapped Polkadot (DOT) tokens tidigare denna vecka är ännu värre än vad som först rapporterades, enligt teamet bakom Hyperbridge. Vad som initialt troddes uppgå till 237 000 dollar i tokenförluster kopplade till Polkadot-Ethereum-bron är faktiskt närmare 2,5 miljoner dollar—en ökning med mer än 10 gånger från den ursprungliga rapporten.
”En angripare utnyttjade en sårbarhet i Merkle Mountain Range (MMR) bevisverifieringslogik, vilket gjorde det möjligt för gärningspersonen att minting av tillgångar och tömma de deponerade tillgångarna på Token Gateway,” skrev teamet i en postmortem på torsdag.
”Vår initiala offentliga uppskattning av den realiserade förlusten var cirka 237 000 dollar, baserat på den omedelbart observerbara försäljningen av bridged DOT på Ethereum,” tillade de. ”Den siffran fångade inte hela bilden, fick vi senare veta.” Förutom de 237 000 dollar i observerbara förluster, utnyttjades ett smart kontrakt för 245 ETH, eller runt 561 000 dollar, timmar innan de skadliga DOT-tokenmintingarna.
Dessutom påverkades tre kopplade blockkedjor—Base, Arbitrum och BNB Chain—vilket motsade teamets ursprungliga rapport om att endast wrapped DOT på Ethereum påverkades. ”Efter att ha sammanställt angriparens aktivitet över var och en av de fyra kedjorna, den tvåfasiska naturen av attacken och förluster från de associerade incitamentspoolerna, är den reviderade totala realiserade förlusten cirka 2,5 miljoner dollar, denominerad i ETH och DOT vid tidpunkten för exploateringen,” skrev de.
Återhämtning av Stulna Medel
De stulna medlen har spårats till en insättningsadress på Binance, och företaget har engagerat den centraliserade börsens compliance-team och relevant brottsbekämpning i ett försök att frysa och återhämta de stulna tillgångarna—men de förväntar sig inte en lösning inom kort.
”Vi utnyttjar alla tillgängliga kanaler, men den realistiska tidslinjen för meningsfull återhämtning i ett fall av denna typ mäts i månader och kan sträcka sig upp till ett år,” tillade de.
Medan deras mål är att göra alla drabbade användare hela och återbetala medel som har komprometterats, indikerade protokollet att det har ”åtagit sig en strukturerad BRIDGE-tokenallokering för att täcka den kvarstående förlusten,” om det inte skulle kunna göra det. Men BRIDGE, dess inhemska protokol-token, har extremt låga volymer, senast handlad för 1 800 dollar under 24 timmar när den bytte ägare för runt 0,006 dollar den 29 mars, enligt data från CoinGecko. Vid det priset hade token ett marknadsvärde på cirka 858 000 dollar, vilket är ungefär en tredjedel av de totala förlusterna från dess exploatering.
Framtiden för Bridging-funktionalitet
Bridging-funktionaliteten på de fyra drabbade blockkedjorna förblir pausad och kommer endast att återupptas efter att en patch har distribuerats och granskats. ”Detta förändrar inte vår övertygelse om att cross-chain interoperabilitet endast är säker genom kryptografiska bevis,” skrev protokollets team. ”Vad denna exploatering har gjort tydligt, och kostsamt, är att verifieringslogik behöver mer frekventa granskningar och motstridande tester på varje lager av stacken,” tillade de. ”Det är den standard som Token Gateway kommer att verka under framöver.”
