DOT bị rút cạn sau khi bằng chứng giả mạo vượt qua các kiểm tra bảo mật chuỗi chéo
Một lỗ hổng trong cầu nối chuỗi chéo liên kết với Polkadot đã dẫn đến việc tạo ra 1 tỷ token DOT trái phép trên Ethereum, gây ra sự sụt giảm giá mạnh và buộc các sàn giao dịch phải tạm dừng hoạt động giao dịch.
Lỗ hổng này nhắm vào hệ thống cổng Hyperbridge, nơi kẻ tấn công đã gửi thành công một bằng chứng mật mã giả mạo, nhưng lại bị chấp nhận sai là hợp lệ.
Sau khi thông điệp giả mạo vượt qua quá trình xác minh, nó đã kích hoạt logic hợp đồng, trao quyền kiểm soát quản trị hợp đồng token cầu nối cho ví của kẻ tấn công.
Với quyền truy cập đó, chúng đã tạo ra 1 tỷ token DOT, vượt xa nguồn cung token cầu nối đang lưu hành tại thời điểm đó, và nhanh chóng thanh lý chúng.
Cách bằng chứng giả mạo giành quyền kiểm soát hợp đồng token
Sự cố bắt nguồn từ lỗi trong cách hệ thống Hyperbridge xác thực chuỗi chéo. tin nhắn.
Bằng chứng giả mạo của kẻ tấn công được coi là hợp lệ, cho phép thực thi hợp đồng tự động mà không cần sự can thiệp của con người.
Chức năng bị xâm phạm đã thay đổi quyền quản trị của hợp đồng DOT được kết nối trên Ethereum, về cơ bản trao cho kẻ tấn công toàn quyền kiểm soát quyền tạo token.
Theo công ty bảo mật blockchain CertiK, điều này cho phép kẻ tấn công giành quyền kiểm soát trước khi phát hành nguồn cung token bị thổi phồng.
Các nhà phân tích onchain từ Lookonchain lưu ý rằng kẻ tấn công sau đó đã triển khai các token mới được tạo vào các thị trường phi tập trung trong một lần duy nhất, làm cạn kiệt thanh khoản gần như ngay lập tức.
1 Tỷ Token Được Tạo Và Bán Tước Chỉ Trong Một Lần
Sau khi giành quyền kiểm soát, kẻ tấn công đã tạo ra 1 tỷ token DOT được chuyển đổi, gấp khoảng 2.805 lần so với nguồn cung hiện có tại thời điểm đó.
Các token sau đó được bán vào Uniswap, nơi các nhóm thanh khoản nhanh chóng bị rút cạn.
Vụ bán đã tạo ra khoảng 108,2 ETH, trị giá khoảng 237.000 đô la, trước khi tiền được chuyển qua Odos Router V3 và được trả lại vào ví của kẻ tấn công.
Khi nguồn cung nhân tạo tràn ngập thị trường, giá của DOT được chuyển đổi tự động đã sụp đổ từ khoảng 1,22 đô la xuống gần 1 đô la, với một số công cụ theo dõi cho thấy nó giảm xuống chỉ còn vài phần nhỏ của một xu trong thời điểm tác động mạnh nhất.
Các sàn giao dịch phản ứng khi các biện pháp kiểm soát giao dịch được kích hoạt
Sự gián đoạn đã thúc đẩy các biện pháp phòng ngừa ngay lập tức trên các nền tảng giao dịch.
Upbit đã tạm ngừng gửi và rút DOT trong khi tình hình được đánh giá, với lý do lo ngại về sự biến động liên tục và token. tính toàn vẹn.
Các nền tảng khác được cho là đang theo dõi mức độ tiếp xúc với các token DOT được kết nối trên Ethereum khi các cuộc điều tra tiếp tục, với các hạn chế tạm thời dự kiến sẽ được duy trì cho đến khi có thêm thông tin rõ ràng.
Tại sao mô hình Hyperbridge không ngăn chặn được cuộc tấn công
Hyperbridge, được xây dựng như một hệ thống tương tác giảm thiểu sự tin cậy, dựa nhiều vào bằng chứng mật mã hơn là xác thực thủ công.
Trong trường hợp này, thiết kế đó đã trở thành điểm xâm nhập cho khai thác.
Các nhà phát triển đã cấu trúc hệ thống sao cho các tin nhắn đã được xác minh tự động kích hoạt việc thực thi hợp đồng.
Tuy nhiên, kẻ tấn công đã tạo ra được bằng chứng giả mạo mà hệ thống chấp nhận mà không phát hiện ra sự thao túng, cho phép thực hiện các thay đổi quản trị trái phép.
Hyperbridge đã tạm dừng hợp đồng cổng Ethereum của mình trong khi lỗ hổng đang được xem xét.
Hệ sinh thái Polkadot vẫn không bị ảnh hưởng bất chấp sự sụp đổ của token được kết nối
Mạng lưới Polkadot cốt lõi, bao gồm cả parachain và DOT gốc, không bị ảnh hưởng.
Các quan chức đã làm rõ rằng chỉ có token DOT được kết nối với Ethereum thông qua Hyperbridge bị ảnh hưởng, trong khi các tuyến kết nối khác vẫn còn nguyên vẹn.
Tình huống này cho thấy sự cố nghiêm trọng nhưng có giới hạn trong một lớp tương tác cụ thể chứ không phải toàn bộ hệ sinh thái Polkadot, khi các nhóm tiếp tục điều tra vụ vi phạm và đánh giá các giải pháp khắc phục tiềm năng.
Anais
