Alvorlig Udnyttelse af Polkadot Tokens
Et udnyttelse, der førte til minting af 1 milliard wrapped Polkadot (DOT) tokens tidligere på ugen, er langt værre end oprindeligt rapporteret, ifølge teamet bag Hyperbridge. Hvad der først blev anslået til at udgøre $237.000 i tab relateret til Polkadot-Ethereum broen, er faktisk tættere på $2,5 millioner – en mere end 10 gange stigning fra den oprindelige rapport.
“En angriber udnyttede en sårbarhed i Merkle Mountain Range (MMR) proof-verifikationslogikken, hvilket gjorde det muligt for gerningsmanden at mint’e aktiver og tømme de escrowede aktiver på Token Gateway,” skrev teamet i et postmortem torsdag.
“Vores oprindelige offentlige skøn over det realiserede tab var cirka $237.000, baseret på den straks observerbare salg af bridged DOT på Ethereum,” tilføjede de. “Det tal fangede ikke det fulde billede, som vi senere lærte.” Udover de $237.000 i observerbare tab, blev en smart kontrakt udnyttet for 245 ETH eller omkring $561.000 timer før de ondsindede DOT token mintings.
Indvirkning på Flere Blockchains
Desuden blev tre tilknyttede blockchains – Base, Arbitrum og BNB Chain – også påvirket, hvilket modsiger teamets oprindelige rapport om, at kun wrapped DOT på Ethereum blev påvirket. “Efter rekonsiliering af angriberaktivitet på hver af de fire kæder, den to-fasede karakter af angrebet, og tab fra de tilknyttede incitamentspuljer, er det reviderede samlede realiserede tab cirka $2,5 millioner, denomineret i ETH og DOT på tidspunktet for udnyttelsen,” skrev de.
Forsøg på at Genvinde Stjålne Aktiver
De stjålne midler er blevet sporet til en depositadresse på Binance, og firmaet har engageret den centraliserede udvekslings compliance-team og relevante retshåndhævende myndigheder i et forsøg på at fryse og genvinde de stjålne aktiver – men de forventer ikke en løsning snart.
“Vi forfølger hver tilgængelig kanal, men den realistiske tidslinje for meningsfuld genvinding i en sag af denne type måles i måneder og kan strække sig op til et år,” tilføjede de.
Mens deres mål er at gøre alle berørte brugere hele og tilbagebetale midler, der er blevet kompromitteret, indikerede protokollen, at den er “forpligtet til en struktureret BRIDGE token-allokering for at dække det resterende tab,” hvis den ikke er i stand til at gøre det.
BRIDGE Token og Fremtidige Foranstaltninger
Men BRIDGE, dens native protokol-token, opretholder ekstremt lave volumener og blev sidst handlet til $1.800 over 24 timer, da det skiftede hænder for omkring $0,006 den 29. marts, ifølge data fra CoinGecko. På det prisniveau havde tokenet en markedsværdi på omkring $858.000, cirka en tredjedel af de samlede tab fra dens udnyttelse.
Bro-funktionaliteten på de fire berørte blockchains forbliver sat på pause og vil kun genoptages efter en patch er implementeret og revideret. “Dette ændrer ikke vores overbevisning om, at cross-chain interoperabilitet kun er sikker gennem kryptografiske beviser,” skrev protokolteamet. “Hvad denne udnyttelse har gjort klart, er, at verifikationslogik har brug for hyppigere revisioner og modstridende test på hvert lag af stakken,” tilføjede de. “Det er den standard, Token Gateway vil operere under fremadrettet.”
