Eksploitasi Token Wrapped Polkadot
Sebuah eksploitasi yang menyebabkan pencetakan 1 miliar token wrapped Polkadot (DOT) pada awal pekan ini ternyata lebih parah dari yang dilaporkan sebelumnya, menurut tim di balik Hyperbridge. Kerugian yang awalnya diperkirakan mencapai $237.000 kini diperkirakan mendekati $2,5 juta—kenaikan lebih dari 10 kali lipat dari laporan awal.
“Seorang penyerang mengeksploitasi kerentanan dalam logika verifikasi bukti Merkle Mountain Range (MMR), yang memungkinkan pelaku untuk mencetak aset dan menguras aset yang disimpan di Token Gateway,” tulis tim dalam laporan pasca kejadian pada hari Kamis.
“Perkiraan awal kami tentang kerugian yang terwujud adalah sekitar $237.000, berdasarkan penjualan yang langsung terlihat dari DOT yang dijembatani di Ethereum,” tambah mereka. “Angka tersebut tidak mencerminkan gambaran lengkap, yang kemudian kami ketahui.” Selain kerugian $237.000 yang terlihat, sebuah kontrak pintar juga dieksploitasi untuk 245 ETH atau sekitar $561.000 beberapa jam sebelum pencetakan token DOT yang berbahaya.
Selain itu, tiga blockchain terkait—Base, Arbitrum, dan BNB Chain—juga terpengaruh, yang bertentangan dengan laporan awal tim yang menyatakan bahwa hanya wrapped DOT di Ethereum yang terpengaruh.
“Setelah rekonsiliasi aktivitas penyerang di masing-masing dari empat rantai, sifat serangan dua fase, dan kerugian dari kolam insentif terkait, total kerugian yang terwujud yang direvisi adalah sekitar $2,5 juta, dinyatakan dalam ETH dan DOT pada saat eksploitasi,” tulis mereka.
Dana yang dicuri telah dilacak ke alamat deposit di Binance, dan perusahaan telah melibatkan tim kepatuhan bursa terpusat tersebut serta penegak hukum terkait dalam upaya untuk membekukan dan memulihkan aset yang dicuri—tetapi tidak mengharapkan resolusi segera.
“Kami mengejar setiap saluran yang tersedia, tetapi garis waktu realistis untuk pemulihan yang berarti dalam kasus jenis ini diukur dalam bulan, dan dapat diperpanjang hingga satu tahun,” tambah mereka.
Meskipun tujuannya adalah untuk mengembalikan semua pengguna yang terpengaruh dan membayar kembali dana yang telah dikompromikan, protokol menunjukkan bahwa mereka “berkomitmen untuk alokasi token BRIDGE yang terstruktur untuk menutupi kerugian residual,” jika tidak dapat melakukannya.
Namun, BRIDGE, token protokol asli, mempertahankan volume yang sangat rendah, terakhir diperdagangkan sebesar $1.800 dalam 24 jam ketika berpindah tangan sekitar $0,006 pada 29 Maret, menurut data dari CoinGecko. Pada titik harga tersebut, token memiliki kapitalisasi pasar sekitar $858.000, sekitar sepertiga dari total kerugian akibat eksploitasi tersebut.
Fungsionalitas bridging di empat blockchain yang terpengaruh tetap dijeda, dan hanya akan dilanjutkan setelah patch diterapkan dan diaudit.
“Ini tidak mengubah keyakinan kami bahwa interoperabilitas lintas rantai hanya aman melalui bukti kriptografi,” tulis tim protokol. “Apa yang jelas dari eksploitasi ini, dengan biaya yang mahal, adalah bahwa logika verifikasi memerlukan audit yang lebih sering dan pengujian adversarial di setiap lapisan tumpukan,” tambah mereka. “Itulah standar yang akan dioperasikan Token Gateway ke depan.”
