Pagsasamantala sa Polkadot Tokens
Isang pagsasamantala na nagresulta sa paglikha ng 1 bilyong wrapped Polkadot (DOT) tokens noong nakaraang linggo ay mas malala kaysa sa orihinal na iniulat, ayon sa koponan sa likod ng Hyperbridge. Ang orihinal na inisip na nagkakahalaga ng $237,000 na pagkalugi sa token na nauugnay sa Polkadot-Ethereum bridge ay talagang mas malapit sa $2.5 milyon—isang higit sa 10x na pagtaas mula sa paunang ulat.
Detalye ng Pagsasamantalang
“Isang umaatake ang nagsamantala sa isang kahinaan sa Merkle Mountain Range (MMR) proof verification logic, na nagpapahintulot sa salarin na lumikha ng mga asset at ubusin ang mga escrowed asset sa Token Gateway,” isinulat ng koponan sa isang postmortem noong Huwebes.
“Ang aming paunang pampublikong pagtataya ng naitalang pagkalugi ay humigit-kumulang $237,000, batay sa agad na nakitang pagbebenta ng bridged DOT sa Ethereum,” idinagdag nila. “Ang numerong iyon ay hindi nakakuha ng buong larawan, nalaman namin sa kalaunan.”
Karagdagang Pagkalugi
Bilang karagdagan sa $237,000 na nakitang pagkalugi, isang smart contract ang sinamantala para sa 245 ETH o humigit-kumulang $561,000 ilang oras bago ang masamang paglikha ng DOT tokens. Bukod dito, tatlong konektadong blockchain—Base, Arbitrum, at BNB Chain—ay naapektuhan din, na sumasalungat sa orihinal na ulat ng koponan na tanging wrapped DOT sa Ethereum ang naapektuhan.
Binagong Kabuuang Pagkalugi
“Matapos ang pagkakasundo ng aktibidad ng umaatake sa bawat isa sa apat na chain, ang dalawang-phase na katangian ng pag-atake, at mga pagkalugi mula sa mga kaugnay na incentive pools, ang binagong kabuuang naitalang pagkalugi ay humigit-kumulang $2.5 milyon, na nakadeno sa ETH at DOT sa oras ng pagsasamantala,” isinulat nito.
Pagbawi ng mga Ninakaw na Pondo
Ang mga ninakaw na pondo ay nasubaybayan sa isang deposit address sa Binance, at ang kumpanya ay nakipag-ugnayan sa compliance team ng centralized exchange at mga kaugnay na ahensya ng batas sa pagtatangkang i-freeze at mabawi ang mga ninakaw na asset—ngunit hindi ito umaasa ng agarang solusyon.
“Kami ay sumusunod sa bawat magagamit na channel, ngunit ang makatotohanang timeline para sa makabuluhang pagbawi sa ganitong uri ng kaso ay sinusukat sa mga buwan, at maaaring umabot ng hanggang isang taon,” idinagdag nito.
Layunin ng Protocol
Habang ang layunin nito ay gawing buo ang lahat ng naapektuhang gumagamit, ang pagbabayad ng mga pondo na na-kompromiso, ipinahiwatig ng protocol na ito ay “nakatuon sa isang nakabalangkas na BRIDGE token allocation upang masakop ang natitirang pagkalugi,” kung sakaling hindi ito magawa. Ngunit ang BRIDGE, ang katutubong protocol token nito, ay nagpapanatili ng napakababang dami, huling nakipagkalakalan ng $1,800 sa loob ng 24 na oras nang ito ay nagpalitan ng humigit-kumulang $0.006 noong Marso 29, ayon sa datos mula sa CoinGecko.
Pagpapatuloy ng Bridging Functionality
Sa puntong iyon, ang token ay may market cap na humigit-kumulang $858,000, mga isang-katlo ng kabuuang pagkalugi mula sa pagsasamantala nito. Ang bridging functionality sa apat na naapektuhang blockchain ay nananatiling nakapahinto, at muling magsisimula lamang pagkatapos ma-deploy at ma-audit ang isang patch.
“Ito ay hindi nagbabago sa aming paniniwala na ang cross-chain interoperability ay ligtas lamang sa pamamagitan ng cryptographic proofs,” isinulat ng koponan ng protocol. “Ang malinaw na ipinakita ng pagsasamantalang ito, sa isang mahal na paraan, ay ang verification logic ay nangangailangan ng mas madalas na mga audit at adversarial testing sa bawat layer ng stack,” idinagdag nito. “Iyon ang pamantayan na susundin ng Token Gateway sa hinaharap.”
