Hyperbridgeのエクスプロイトとその影響
今週初めに発生した1億のラップドPolkadot(DOT)トークンのミントにつながるエクスプロイトについて、Hyperbridgeのチームは、当初報告されたよりもさらに深刻な状況であることを認めました。
損失の規模と原因
Polkadot-Ethereumブリッジに関連するトークンの損失は、初めの237,000ドルから実際には250万ドルに近いものであり、初期報告から10倍以上の増加となりました。チームは木曜日に発表したポストモーテムで、
「攻撃者はMerkle Mountain Range(MMR)証明検証ロジックの脆弱性を悪用し、資産をミントし、Token Gateway上のエスクロー資産を排出することが可能になりました」と述べました。
「私たちの初期の公的な損失見積もりは、Ethereum上のブリッジされたDOTの即時観察可能な売却に基づいて約237,000ドルでした」と彼らは付け加えました。「その数字は全体像を捉えていなかったことが後にわかりました。」
追加の損失と影響を受けたブロックチェーン
237,000ドルの観察可能な損失に加えて、悪意のあるDOTトークンのミントの数時間前に245 ETH、約561,000ドルのスマートコントラクトが悪用されました。また、Base、Arbitrum、BNB Chainの3つの関連ブロックチェーンも影響を受けており、Ethereum上のラップドDOTのみが影響を受けたというチームの初期報告とは矛盾しています。
資金の追跡と回収の試み
盗まれた資金はBinanceの入金アドレスに追跡されており、同社は中央集権的な取引所のコンプライアンスチームおよび関連する法執行機関と連携し、盗まれた資産を凍結し回収する試みを行っていますが、すぐに解決することは期待していません。
「私たちは利用可能なすべてのチャネルを追求していますが、この種のケースでの意味のある回収の現実的なタイムラインは数ヶ月で測定され、最大で1年に及ぶ可能性があります」と付け加えました。
ユーザーへの補償と今後の対策
影響を受けたすべてのユーザーを補償することを目指していますが、プロトコルは「残存損失をカバーするための構造化されたBRIDGEトークンの配分にコミットしている」と示唆しました。BRIDGEはそのネイティブプロトコルトークンであり、CoinGeckoのデータによると、過去24時間で1,800ドルで取引され、3月29日には約0.006ドルで取引されました。この価格ポイントでは、トークンの時価総額は約858,000ドルであり、エクスプロイトからの総損失の約3分の1に相当します。
影響を受けた4つのブロックチェーン上のブリッジ機能は一時停止されており、パッチが展開され監査されるまで再開されません。
「これは、クロスチェーンの相互運用性が暗号学的証明を通じてのみ安全であるという私たちの信念を変えるものではありません」とプロトコルチームは述べました。
「このエクスプロイトが明らかにしたのは、検証ロジックがスタックのすべてのレイヤーでより頻繁に監査され、敵対的なテストが必要であるということです」と付け加えました。「それが今後Token Gatewayが運営される基準です。」
