Thông tin về lỗ hổng và thiệt hại
Một lỗ hổng đã dẫn đến việc phát hành 1 tỷ token Polkadot (DOT) vào đầu tuần này, và thiệt hại thực tế nghiêm trọng hơn nhiều so với báo cáo ban đầu, theo thông tin từ đội ngũ phát triển Hyperbridge. Những gì ban đầu được cho là thiệt hại khoảng 237.000 USD liên quan đến cầu Polkadot-Ethereum thực tế đã lên tới gần 2,5 triệu USD, tăng hơn 10 lần so với con số ban đầu.
Chi tiết về cuộc tấn công
“Một kẻ tấn công đã khai thác một lỗ hổng trong logic xác minh chứng chỉ Merkle Mountain Range (MMR), cho phép kẻ này phát hành tài sản và rút tài sản đã được ký quỹ trên Token Gateway,” đội ngũ cho biết trong một bài viết vào thứ Năm.
“Ước tính công khai ban đầu của chúng tôi về thiệt hại thực tế là khoảng 237.000 USD, dựa trên việc bán tháo DOT đã được bọc trên Ethereum mà chúng tôi quan sát ngay lập tức,” họ bổ sung. “Con số đó không phản ánh đầy đủ tình hình, và chúng tôi đã nhận thức được điều này sau đó.”
Ngoài 237.000 USD trong thiệt hại có thể quan sát được, một hợp đồng thông minh đã bị khai thác với 245 ETH, tương đương khoảng 561.000 USD, chỉ vài giờ trước khi các token DOT độc hại được phát hành. Thêm vào đó, ba blockchain liên kết – Base, Arbitrum và BNB Chain – cũng bị ảnh hưởng, trái ngược với báo cáo ban đầu của đội ngũ rằng chỉ có DOT được bọc trên Ethereum bị ảnh hưởng.
Tổng thiệt hại và nỗ lực khôi phục
“Sau khi đối chiếu hoạt động của kẻ tấn công trên bốn chuỗi, tính chất hai giai đoạn của cuộc tấn công và thiệt hại từ các quỹ khuyến khích liên quan, tổng thiệt hại thực tế được điều chỉnh là khoảng 2,5 triệu USD, được định giá bằng ETH và DOT vào thời điểm xảy ra vụ khai thác,” họ viết.
Các quỹ bị đánh cắp đã được truy vết đến một địa chỉ gửi tiền trên Binance, và công ty đã liên hệ với đội ngũ tuân thủ của sàn giao dịch tập trung cũng như các cơ quan thực thi pháp luật liên quan trong nỗ lực đóng băng và khôi phục tài sản bị đánh cắp – nhưng họ không mong đợi một giải pháp sớm. “Chúng tôi đang theo đuổi mọi kênh có sẵn, nhưng thời gian thực tế để khôi phục trong trường hợp này có thể kéo dài từ vài tháng đến một năm,” họ cho biết thêm.
Cam kết bù đắp thiệt hại
Mặc dù mục tiêu của họ là bù đắp cho tất cả người dùng bị ảnh hưởng và hoàn trả các quỹ đã bị xâm phạm, giao thức đã chỉ ra rằng họ “cam kết phân bổ token BRIDGE có cấu trúc để bù đắp thiệt hại còn lại,” nếu họ không thể làm như vậy. Tuy nhiên, BRIDGE, token gốc của giao thức, duy trì khối lượng giao dịch rất thấp, với giao dịch cuối cùng chỉ đạt 1.800 USD trong 24 giờ khi nó được giao dịch khoảng 0,006 USD vào ngày 29 tháng 3, theo dữ liệu từ CoinGecko. Tại mức giá đó, token có vốn hóa thị trường khoảng 858.000 USD, chỉ bằng một phần ba tổng thiệt hại từ vụ khai thác.
Trạng thái hiện tại và tương lai
Chức năng cầu nối trên bốn blockchain bị ảnh hưởng vẫn đang tạm dừng và sẽ chỉ được khôi phục sau khi một bản vá được triển khai và kiểm toán. “Điều này không thay đổi niềm tin của chúng tôi rằng khả năng tương tác giữa các chuỗi chỉ an toàn thông qua các chứng minh mật mã,” đội ngũ giao thức viết. “Vụ khai thác này đã làm rõ, một cách tốn kém, rằng logic xác minh cần được kiểm toán thường xuyên hơn và thử nghiệm đối kháng ở mọi lớp của hệ thống,” họ nhấn mạnh. “Đó là tiêu chuẩn mà Token Gateway sẽ hoạt động trong tương lai.”
