• 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

波卡黑客事件:攻击者利用以太坊合约铸造10亿DOT代币

2026-04-13 23:17:05
收藏

Hyperbridge漏洞暴露了以太坊跨链消息传递中的一个严重缺陷。此次攻击让一名利用者控制了一个桥接的Polkadot代币合约。安全公司CertiK通过链上追踪攻击路径后标记了此次事件。

此次漏洞的核心在于Hyperbridge的网关合约。该系统是ISMP框架的一部分,该框架用于在Polkadot和以太坊等链之间传递消息。在此案例中,消息流似乎被操纵了。

Hyperbridge漏洞利用伪造证明夺取管理员权限

据警报,攻击者在一次交易中部署了一个主合约和一个辅助合约。随后,辅助合约向存在漏洞的HandlerV1合约提交了伪造的质押证明。这一步似乎绕过了预期的验证检查。

伪造的消息通过dispatch incoming函数传递。随后被路由到TokenGateway.onAccept。在那里,针对桥接的DOT代币合约执行了一个恶意的ChangeAssetAdmin操作。

这使得攻击者获得了管理员和铸造者权限。一旦这些权限被转移,合约便完全暴露。攻击者随后可以铸造没有有效跨链背书的代币。

管理员接管打开大门

核心问题似乎在于证明验证。请求收据检查本应将消息与来自Polkadot的有效状态承诺进行匹配。然而,链上痕迹表明存储的承诺值为全零。

这一细节指向一个缺失或被绕过的验证步骤。网关仍然将该消息当作真实的接收。之后,代币合约执行了changeAdmin调用,并将控制权移交给了攻击者的地址。

这是Hyperbridge漏洞利用的转折点。一旦失去管理员控制,攻击者就获得了随意发行代币的能力。这使得漏洞利用的剩余部分变得快速而直接。

十亿代币被铸造

在管理员变更后,攻击者在单笔交易中铸造了10亿个DOT代币。这个数字远高于以太坊上报告的约356,000个代币的ERC-20 DOT供应量。铸造的规模使得此次事件立刻引人注目。

随后,新创建的代币被抛售到以太坊流动性池中。Etherscan数据显示,攻击者使用了Odos Router和Uniswap V4来交换这些代币。交易换回了大约108.2个ETH。

这些ETH随后被发送到攻击者外部拥有的钱包。截至报道时,资金仍在那里。根据当前价格估算,利润约为237,000美元。

流动性限制了最终损失

代币铸造的规模是巨大的。然而,最终的收益却远低于供应数字所暗示的。这是因为以太坊上的桥接DOT资金池深度不足。

攻击者在一个浅薄的市场中抛售。大量的代币压垮了可用的流动性。这压低了执行价格,并大幅降低了每个代币的回报。

在此案例中,低流动性对利用者不利。它限制了损失,并限制了提取的价值。如果是一个更深度的资金池,同样的漏洞可能会导致更大的损失。

如果这些代币进入了Polkadot上的原生DOT市场,风险可能会更大。但这并未发生。尽管如此,该事件显示了在不同条件下,该漏洞可能有多么危险。

第二起事件引发更多担忧

这并非当天与该系统相关的首次攻击。据报道,较早的一次漏洞利用耗尽了价值约12,000美元的MANTA和CERE代币。据说那次攻击使用了类似的手法。

这种重复的模式暗示了ISMP流程中存在更广泛的弱点。问题似乎与状态证明的薄弱验证有关。如果这个判断正确,其他连接的代币合约可能也面临风险。

CertiK表示,Hyperbridge网关合约是攻击载体。该公司还证实,利用者通过铸造和出售桥接代币获利。这加重了人们对该漏洞是结构性而非孤立性的担忧。

市场反应迅速

事件发生后,根据CoinMarketCap数据,DOT下跌约4.8%,至1.16美元。这一下跌反映了市场对该漏洞利用的快速反应。当代币控制和铸造权限受到威胁时,交易者往往会迅速做出反应。

这次下跌也显示了跨链桥事件如何能影响到相关合约之外的更广泛市场情绪。尽管这次漏洞利用的目标是以太坊上的桥接代币,但它仍然给更广泛的DOT叙事带来了压力。

项目方的沉默增加了不确定性

Hyperbridge由Polytope Labs开发。该项目自称是一个信任最小化的互操作性层,依赖密码学证明而非多重签名委员会。这种模式旨在避免许多常见的跨链桥故障。

然而,此次漏洞利用表明,仅靠密码学设计是不够的。证明检查的实现同样重要。验证过程中的一个弱点就足以破坏整个安全模型。

截至报道时,尚未有广泛传播的公开声明概述暂停措施、缓解方案或恢复计划。目前也不清楚同一网关上的其他桥接资产是否也面临风险。这种沉默给事件增添了更多不确定性。

结论

Hyperbridge漏洞利用暴露了跨链证明验证中的一个关键弱点。攻击者使用伪造的消息获得了管理员控制权,铸造了10亿个DOT代币,并提取了大约108.2个ETH。

该事件也引发了人们对跨链桥安全性的更广泛担忧。一个围绕密码学证明构建的系统仍然在验证层失败了。在该项目明确解决问题之前,关于其他桥接资产和网关安全性的问题可能将持续存在。

附录:关键术语表

Hyperbridge: 由Polytope Labs开发的跨链互操作性系统。

ISMP: 可互操作状态机协议的缩写。用于在区块链之间传递消息。

网关合约: 接收和处理跨链消息的智能合约。

HandlerV1: 在此事件中被指接受了伪造状态证明的合约。

状态证明: 用于证明消息或事件在另一条链上有效的密码学数据。

关于Hyperbridge漏洞的常见问题

1: Hyperbridge漏洞是什么?
这是一次伪造的跨链消息攻击。攻击者控制了以太坊上桥接的DOT代币合约。

2: Hyperbridge漏洞是如何发生的?
攻击者在HandlerV1上使用了伪造的状态证明。这绕过了检查并触发了恶意的管理员变更。

3: 攻击者获得了什么?
攻击者获得了管理员和铸造者权限。这使得可以铸造10亿个DOT代币。

4: 攻击者赚了多少钱?
铸造的代币被兑换为大约108.2个ETH。估计利润约为237,000美元。

免责声明:

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证,网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用,不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责,与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文
20.00% 80.00%
利好
利空

热门币种

更多
更多新闻
自选
我的自选
查看全部
市值 价格 24h%
SVG Image
新闻
搜索相关最新新闻
社区
搜索相关最新动态
币种