Hakerzy ukradli 237 000 $ w exploicie Bridged-Polkadot po wybiciu 1 miliarda DOT i konwersji ich na 108 ETH

Hakerzy wykorzystali dziś rano lukę w kontrakcie bramy Ethereum mostka międzyłańcuchowego Hyperbridge, wybijając 1 miliard nieautoryzowanych tokenów opakowanego Polkadot (DOT) i wymieniając je na około 108,2 ETH o wartości co najmniej 237 000 USD w jednej transakcji.
Atak, który miał miejsce około 3:55 czasu UTC, był wymierzony wyłącznie w aktywa DOT zmostkowane na Ethereum i pozostawił natywny blockchain Polkadot, parachainy, staking i zarządzanie nietknięte. Hyperbridge, oparty na Polkadot protokół interoperacyjności, który łączy aktywa między łańcuchami za pomocą swojego Protokołu Maszyny Stanów Interoperacyjności (ISMP), potwierdził naruszenie we wpisie na X krótko po jego wykryciu. „Exploit wpłynął na jeden z naszych kontraktów Ethereum" – oświadczył zespół. „Wstrzymaliśmy wszystkie mostkowanie i zaleciliśmy partnerom zatrzymanie powiązanych transakcji, podczas gdy zespół opanowuje problem."

Oficjalne konto Polkadot potwierdziło zapewnienie kilka godzin później. „Jesteśmy świadomi problemu dotyczącego kontraktu bramy Ethereum @hyperbridge" — opublikowało.

„Exploit dotyczy tylko DOT na Ethereum, który jest zmostkowany przez Hyperbridge i nie wpływa na DOT w ekosystemie Polkadot ani DOT zmostkowany przez inne mostki. Polkadot, jego parachainy i natywny DOT pozostają bezpieczne i nienaruszone."

Mechanizm exploitu Bridged-Polkadot

Zweryfikowany przez analityków on-chain i firmy bezpieczeństwa, w tym CertiK, exploit został wykonany w bloku 24 868 295 za pomocą hasza transakcji 0x240a…1109. Portfel atakującego (0xC513…F8E7), 33-dniowy adres, wdrożył złośliwy podkontrakt i przesłał sfałszowane dowody konsensusu Polkadot za pośrednictwem kontraktu HandlerV1.

Badacze bezpieczeństwa prześledzili główną przyczynę do trzech krytycznych błędów. Po pierwsze, okres kwestionowania mostka został ustawiony na zero, usuwając wszelkie okno sporów i pozwalając na natychmiastowe zaakceptowanie sfałszowanego zobowiązania stanu. Po drugie, w funkcji weryfikacji dowodów kontraktu HandlerV1 brakowało wystarczającej walidacji. Wreszcie, kontrakt klienta konsensusu (0xA0Ad…669a) nie posiadał publicznej weryfikacji kodu źródłowego. Przygotowując się przez miesiące, atakujący z powodzeniem zasilił portfel za pomocą narzędzi prywatności, w tym pul zk-shielded Railgun i Synapse Bridge, przeprowadzając testowe wdrożenia na stanie produkcyjnym przed atakiem.

Po przejęciu kontroli atakujący zmienił administratora kontraktu zmostkowanego tokena DOT (0x8d01…90b8) i wybił pełny 1 miliard tokenów. Fałszywa podaż została następnie przekierowana przez routery zdecentralizowanych giełd, w tym Uniswap V4, wyczerpując dostępne pule płynności. Wymiana przyniosła 108,2 ETH, zanim boty MEV zreplikowały części exploitu na innych aktywach opakowanych przez Hyperbridge, takich jak ARGN, MANTA i CERE. Całkowite zrealizowane straty w całym incydencie szacuje się na 250 000 USD, uwzględniając wtórne ekstrakcje, chociaż główny łup pozostał ograniczony przez niewielką płynność.

Przeczytaj również: Powiązany z Trumpem World Liberty Financial (WLFI) pozywa Justina Suna w sporze DeFi o wartości 75 mln USD
Incydent wywołał natychmiastowe reakcje rynkowe. Ceny zmostkowanego DOT w dotkniętych pulach spadły z około 1,22 USD do prawie zera. Południowokoreańskie giełdy Upbit i Bithumb wstrzymały depozyty i wypłaty DOT jako środek ostrożności. Pozycje lewarowane odnotowały ponad 728 000 USD w likwidacjach, a szersza płynność DeFi związana z aktywami opakowanymi przez Hyperbridge doświadczyła tymczasowych zakłóceń, wymazując około 20 milionów USD wartości nominalnej z pul.
Hyperbridge zasila wiele tokenów ERC-6160 z parachainów Polkadot, czyniąc bramę wspólnym punktem awarii dla kilku zmostkowanych aktywów. Kontrakt EthereumHost został później całkowicie zamrożony, aby zapobiec dalszym szkodom. W momencie składania tego raportu zaobserwowano, że środki atakującego przemieszczają się przez dodatkowe wypłaty Railgun w przyrostach 15 ETH w kierunku świeżych portfeli wyjściowych, przy czym nie wykryto jeszcze dużych wyprowadzeń mostka.

To kolejny w serii exploitów związanych z mostkami, które nękały zdecentralizowane finanse, gdzie historycznie miliardy zostały utracone z powodu luk w walidacji dowodów i błędów konfiguracji. Hyperbridge pozycjonował się jako bezpieczna, kryptograficznie zweryfikowana alternatywa wykorzystująca mechanizmy konsensusu GRANDPA i BEEFY Polkadot. Atak podkreśla, jak nawet zaawansowane projekty mogą zawieść, gdy kluczowe parametry, takie jak okresy kwestionowania, są zminimalizowane lub gdy kontrakty weryfikacji wyższego szczebla nie posiadają publicznych audytów kodu źródłowego.
Żaden pełny raport kryminalistyczny od Hyperbridge ani Polkadot nie został opublikowany, ponieważ śledztwa trwają. Firmy zajmujące się bezpieczeństwem blockchain CertiK i niezależni analitycy kontynuują monitorowanie ruchów atakującego. Incydent służy jako przypomnienie o trwałych ryzykach w infrastrukturze międzyłańcuchowej, nawet dla protokołów zbudowanych na ugruntowanych sieciach takich jak Polkadot.