Невелика крипто-мережа Hyperbridge потрапила під масштабну атаку, яку можна порівняти із шахрайською операцією мільйонера 🚀
Хacker навіть спробував отримати мільйонерську вигоду, але його замисли було розбивлені, оскільки не було досить ліквідності для видалення його зашумлених активів 💰
Хоча фінансові втрати від експлуатації були досить обмежені, ця подія ще більше розігнала мережу DOT внаслідок ширших хвилювань ринку щодо безпеки міжмережевої взаємодії 🐋
Аналіз безпеки Hyperbridge: експерти пояснили, що вразливість виникла під час перевірки входжень міжмережових повідомлень до передачі в гейт-канал токенів 📊
Фірма безпеки блокчейну BlockSec назвала основну причину виникнення вразливості як «Мерклова гірська ланцюжкова (MMR) вразливість відтворення» В цій криптографічної вразливості атакувач міг відробляти старі, валіідні докази безпеки і приєднати їх до нових, штучно створених запитів 🚨
У центрі цієї експлуатації була відсутність перевірки входжень у функцію «VerifyProof()»
У стандартній міжмережовій взаємодії місто обов’язково перевірити, що запит, що виник на одному блокчейні, є справжнім перед виконанням відповідної дії, наприклад, створення токенів на іншому 🤔
У цій ситуації контракт Hyperbridge не здійснював належної перевірки входжень запиту та підтвердження щодо його змісту Він лише перевіряв, чи був використаний раніше запитний хеш, але не здійснював перевірку щодо того, чи відповідає він підтвердженню до повідомлення, яким він повинен був підтвердити 📈
За допомогою маніпулювання індексними параметрами атакувач обійшов основний розрахунок системи цілком
Ця відділка дозволила атакувачу штучно створити справжню міжмережову повідомлення, підвищити свої права до статусу адміністратора і наказати контракту створити мільярди токенів DOT на Ethereum 🚀
Певно, головний процес створення токенів був попереджений ще однією меншої атакою Аналітик блокчейну Specter повідомляє, що майже за годину до створення мільярдів DOT атакувач використав договір TokenGateway для відмивання 245 ETH, що відповідає приблизно $537,000 🚨
Полідот базований Hyperliquid Exploit (Джерело: Specter) ці засоби були швидко розрізані, розподілені між 15 окремими адресами кошелька у розмірі близько 16,4 ETH і видалені через систему розподільництва засобів 📊
Як міська глибина ліквідності обмежила збитки: хоча створення мільярдів токенів вже сигналізувало про катастрофічні наслідки для більшості інших проектів, атакувач був зупинений власними механізмами декентралізованого фінансування: міською глибина ліквідності 😱
Як правило, коли хакер стягує активи, він відправляє їх у ліквідність на АММ (автоматичний ринку ліквідності) за більш ліквідну і стабільну активу, наприклад, Ethereum або стабільну монету 📊
У цьому випадку пул DOT міжмережового перекладу на Ethereum був досить міським
Коли атакувач спробував видалити мільярди штучно створених токенів у цьому пул для отримання ETH, масштабність його продажної дії швидко переважила наявну ліквідність пула 😱
Як наслідок, алгоритм, що відновлює співвідношення ліквідності, різко зменшив ціну перекладених DOT з $1,22 до майже нікелівого рівня протягом декількох мілісекунд 📊
Потому що ринок не міг швидко витягнути замовлену величезну кількість товарів з стабільною ціною, атакувачі вигоди були різко обмежені 😱
Аналітична фірма blockchain Arkham Intelligence повідомляє, що атакувач зміг отримати всього лише близько $240,000 ETH з пула DOT ліквідності 😱
Потім, коли б цьому було вдалося зробити в глибокому пул або із більш цінним активом міжмережового перекладу, фінансові наслідки були б значно гірші 😱
Іронія життя: ця експлуатація має дуже важливий зміст для команди розвитку Hyperbridge, оскільки відбулася майже за два тижні після публікації їхньої жартівливої статті про те, що їм завдали катастрофічну експлуатацію за $37 мільйонів на своїх мережах Ethereum, Polkadot і Base 🤦♂️
У своєму офіційному каналі їх повідомили про фейковий звіт про інцидент, який стверджував, що було втрачено $37 мільйонів протягом декількох хвилин на своїх мережах Ethereum, Polkadot і Base 🤣
Потім вони навіть додавали, що їхнє уявне нападника було створено спеціально для цієї справи, а навіть навіть передбачали, що навіть зовнішні експерти попереджали їх попередньо про можливості цього нападу 🤣
На той час спільнота проекту висловила свої розгублені відчуття щодо цього жарту після того, як вони публічно публікували, що їхній основний захист був «незламний» Але їхні слова вже нічого не вартують після того, як їм довелося зупинити власну мережу в реальному часі 😱
Однак, команди розробників Polkadot швидко прийшли на допомогу їм, щоб організувати післяматеріали від цієї експлуатації
Вони повідомили, що експлуатація була обмежена тільки мережею Ethereum Hyperbridge і ніяка їх мережа ніколи не була під загрозою цієї експлуатації 🙅♂️
Багато хто починає хвилюватися щодо впливу цієї експлуатації на ринку, оскільки мережа їхніх розробників вже впав майже до свого історичного мінімуму після цього інциденту 📉
Після повідомлення про експлуатацію інформація від CryptoSlate показує, що їхній native DOT монета впала на 5% протягом раннього торгівельного періоду в Азії понеділка, опускаючись до рівня 1,14 доларя США 📊
Ціни цієї монети продовжують знижуватися протягом останніх років після того, як вона опустилася майже біля свого історичного мінімуму у розмірі 1,13 доларів США 📉
Для команди розробників Polkadot ця експлуатація є гіршим сценарієм щодо ринку, оскільки вона ще більше знизила їхні очікування щодо розвитку своєї мережі 🤔
Хоча розробники підкреслюють технічні відмінності між вразливістю окремого контракту Ethereum і повністю безпечною мережею Polkadot, багато хто з них ще більше втрачає довіру до цієї мережі після цієї експлуатації 😱
Крім того, навіть якщо розробники повідомляють про технічні відмінності між двох мереж, багато хто продовжує вважати їх однією мережею і їхній імідж вже багато в чому вже був зіпсований після цієї експлуатації 😱
Бідна мережа Hyperbridge: вона вже була досить слабкою ланкою у мережі Web3, навіть раніше цієї експлуатації 🤦♂️
Вже багато років вони працюють над створенням мережевої інфраструктури між мережами, яка була потрібна для того, щоб різні мережі могли спілкуватися між собою, збільшуючи їхні можливості та зменшуючи їхні комісії 📊
Однак вони мають одне досить серйозне обмеження, адже їм потрібно мати досить великий запас зашумлених активів однієї мережі, яким вони можуть використовувати їх для створення відповідних «запакованих» активів на іншій мережі 📊
Після цього дуже багато людей вже починають вважати ці мережеві вузли досить привабливими цілями для хакерів
За матеріалами CryptoSlate