Kasus perampokan paling gila di dunia kripto? Peretas mencetak 1 miliar dolar DOT, tapi hanya mencuri 230 ribu dolar

Peretas memanfaatkan celah jembatan lintas rantai Hyperbridge, mencetak 1 miliar token DOT secara ilegal, meskipun nilai nominalnya mencapai 1,19 miliar dolar AS, namun karena kurangnya likuiditas pasar, akhirnya hanya berhasil mencairkan sekitar 237.000 dolar AS.

Kejadian serangan cryptocurrency terus bermunculan, tetapi kasus seperti ini “berani mengambil risiko, mendapatkan sedikit uang” memang jarang terjadi. Hari ini (13), sedikit sebelumnya, seorang peretas memanfaatkan celah pada jembatan lintas rantai Hyperbridge, mencetak secara ilegal 1 miliar token Polkadot (DOT) di atas Ethereum, dengan nilai nominal mencapai 1,19 miliar dolar AS. Namun saat dia mencoba menjual token tersebut, karena kekurangan likuiditas yang parah, akhirnya hanya mendapatkan sekitar 23.7 ribu dolar AS dalam bentuk Ethereum.

Perlu diperjelas bahwa target serangan peretas adalah “smart contract jembatan lintas rantai”, sehingga token DOT asli di jaringan utama Polkadot tidak terkena dampak. Penyebab utama celah ini adalah kontrak EthereumHost Hyperbridge yang gagal memverifikasi keaslian pesan secara benar sebelum mengirim pesan lintas rantai ke TokenGateway.

Sumber gambar: X/@OnchainLens

Jembatan lintas rantai selalu menjadi bagian paling rapuh dalam arsitektur blockchain, karena mereka memiliki hak pengelolaan kontrak token. Jika mekanisme verifikasi mengalami celah, peretas dapat dengan mudah memperoleh kekuasaan untuk mencetak token tanpa batas.

Metode serangan: memalsukan pesan, merebut hak pengelolaan, mencetak token tanpa batas

Pelacakan di blockchain menunjukkan bahwa peretas mengirimkan pesan palsu melalui dispatchIncoming dan berhasil mengarahkannya ke TokenGateway.onAccept. Sistem seharusnya memverifikasi keaslian pesan ini berdasarkan status di jaringan Polkadot, tetapi mekanisme verifikasi mencatat nilai janji sebagai “nol semua”, yang berarti proses verifikasi sama sekali dilewati atau tidak ada, sehingga sistem salah menganggap pesan palsu ini sebagai instruksi yang sah.

Pesan yang diterima kemudian menjalankan fungsi changeAdmin pada kontrak token Polkadot yang terhubung, mengalihkan hak administrator ke alamat peretas. Setelah mendapatkan hak pengelolaan, peretas mencetak 1 miliar token DOT dalam satu transaksi, lalu melalui Odos Router V3, memasukkan token tersebut ke dalam kolam perdagangan DOT-ETH di Uniswap V4. Setelah melakukan beberapa kali pertukaran dengan harga yang sedikit berbeda, akhirnya mereka menarik sekitar 108,2 ETH.

“Kurangnya likuiditas” malah menjadi pelindung

Dalam pasar keuangan, “kurangnya likuiditas” biasanya menjadi masalah utama bagi para whale besar, tetapi ironisnya, kekurangan likuiditas kali ini justru menjadi pelindung tak kasat mata, secara signifikan membatasi potensi keuntungan peretas.

Karena kedalaman likuiditas DOT di Ethereum sangat terbatas, mereka tidak mampu menyerap 1 miliar token yang tiba-tiba muncul ini. Saat peretas buru-buru menjual untuk mencairkan, harga yang jatuh parah menyebabkan harga nyata per token bahkan kurang dari satu sen dolar AS.

Jika terjadi di jembatan yang memiliki likuiditas lebih dalam atau aset yang bernilai lebih tinggi, celah yang sama bisa menyebabkan kerugian puluhan kali lipat. Saat artikel ini ditulis, harga DOT sekitar 1,17 dolar AS, turun 5% dalam 24 jam terakhir.

Peristiwa ini kembali menunjukkan bahwa: meskipun peretas memiliki hak “mencetak token tanpa batas”, keberhasilan arbitrase akhirnya tetap bergantung pada likuiditas pasar dan kedalaman transaksi. Organisasi keamanan blockchain terkenal CertiK kemudian mengonfirmasi kejadian serangan ini, dan menyatakan bahwa peretas memperoleh keuntungan sekitar 237.000 dolar AS melalui pencetakan dan penjualan token jembatan.

Hingga saat ini, pihak resmi Hyperbridge belum mengeluarkan komentar publik mengenai insiden ini.

Sumber gambar: X/@CertiKAlert

• Artikel ini disusun kembali dengan izin dari: 《BlockC》
• Judul asli: 《Serangan Terbodoh? Peretas Cetak 1 Miliar Dolar $DOT, Hanya Curi 237 Ribu Dolar Karena “Alasan Ini”》
• Penulis asli: BlockGirl MEL