漏洞损失严重性超出预期
根据Hyperbridge团队的最新报告,本周早些时候导致铸造10亿个包装Polkadot(DOT)代币的漏洞损失远比最初报告的要严重。最初认为与Polkadot-Ethereum桥相关的损失为237,000美元,实际上接近250万美元,损失金额超过最初报告的10倍。
攻击细节与损失分析
团队在周四的事后分析中表示:“
攻击者利用Merkle Mountain Range(MMR)证明验证逻辑中的漏洞,使得罪犯能够铸造资产并抽走Token Gateway上的托管资产。
”他们补充道:“我们最初对实际损失的公开估计约为237,000美元,基于在以太坊上观察到的桥接DOT的即时抛售。后来我们了解到,这一数字并未反映全部情况。”
除了237,000美元的可观察损失外,智能合约在恶意DOT代币铸造前的几个小时内被利用,损失了245 ETH,约合561,000美元。此外,三个相关的区块链——Base、Arbitrum和BNB Chain——也受到影响,这与团队最初报告中仅以太坊上的包装DOT受到影响的说法相矛盾。
追踪与恢复被盗资产
团队表示:“在对四条链上攻击者活动的核对、攻击的两阶段性质以及相关激励池的损失后,修正后的总实际损失约为250万美元,以攻击时的ETH和DOT计。”被盗资金已追踪到Binance上的一个存款地址,团队已与该中心化交易所的合规团队及相关执法部门接洽,试图冻结和追回被盗资产,但预计不会很快解决。
他们表示:“我们正在追求所有可用渠道,但在这种情况下,实际的有意义的恢复时间通常以月为单位,可能延长至一年。”虽然其目标是使所有受影响的用户得到补偿,偿还被盗资金,但该协议表示,如果无法做到这一点,将“致力于结构化的BRIDGE代币分配以覆盖剩余损失。”
BRIDGE代币的市场表现
然而,其本地协议代币BRIDGE的交易量极低,根据CoinGecko的数据,最后一次交易是在24小时内为1,800美元,而在3月29日时的交易价格约为0.006美元。按此价格计算,该代币的市值约为858,000美元,约为其被盗损失的三分之一。
未来的安全措施
四条受影响的区块链上的桥接功能仍处于暂停状态,只有在部署并审核补丁后才会恢复。团队表示:“这并没有改变我们对跨链互操作性只有通过密码学证明才能安全的信念。”他们补充道:“这一漏洞昂贵地表明,验证逻辑需要在每一层堆栈上进行更频繁的审计和对抗性测试。”这是Token Gateway今后将遵循的标准。
