ハッカーはHyperbridgeのクロスチェーンブリッジの脆弱性を悪用し、空から10億枚のDOTトークンを鋳造しました。額面価値は119億ドルに達しますが、市場の流動性不足により、最終的には約23.7万ドルしか現金化できませんでした。
暗号通貨の攻撃事件は絶えませんが、こうした「大きなリスクを取って小さな利益を得る」ケースはあまり見られません。今日(13日)早朝、ハッカーはHyperbridgeのクロスチェーンブリッジの脆弱性を突き、イーサリアム上で空から10億枚のPolkadot(DOT)トークンを鋳造し、その名目価値は119億ドルに達しました。しかし、これらのトークンを売却しようとした際、流動性不足により、最終的には約23.7万ドルのイーサリアムしか得られませんでした。
注意すべき点は、ハッカーの攻撃対象は「クロスチェーンブリッジのスマートコントラクト」であり、Polkadotメインネット上のネイティブなDOTトークンには影響がなかったことです。この脆弱性の原因は、HyperbridgeのEthereumHostコントラクトが、クロスチェーンメッセージをTokenGatewayに渡す前に、その真偽を正しく検証できなかったことにあります。
出典:X/@OnchainLens
クロスチェーンブリッジはブロックチェーンアーキテクチャの中で最も脆弱な部分であり、トークンコントラクトの管理権限を握っているため、検証メカニズムに穴があれば、ハッカーは簡単に無限にトークンを鋳造する権利を得ることができます。
オンチェーンの追跡によると、ハッカーはdispatchIncomingを通じて偽造メッセージを送信し、それをTokenGateway.onAcceptに成功裏に導入しました。通常、システムはPolkadotチェーン上の状態に基づいてこのメッセージの真偽を確認すべきですが、検証機構は約束値を「ゼロ」に記録しており、これは検証プロセスが完全に回避されたか、存在しなかったことを意味します。そのため、システムはこの偽のメッセージを合法的な指示と誤認しました。
受け入れられたメッセージは直ちに、橋渡し用のPolkadotトークンコントラクトのchangeAdmin機能を実行し、管理者権限を攻撃者のアドレスに移譲しました。管理権を取得した攻撃者は、単一の取引で10億枚のDOTを鋳造し、Odos Router V3を通じてこれらのトークンをUniswap V4のDOT-ETHプールに投入、多回の取引で価格差を利用して最終的に約108.2 ETHを引き出しました。
金融市場では、「流動性不足」は巨大な鯨や大口投資家にとって最も頭を悩ませる問題ですが、皮肉なことに、今回の流動性不足は逆に見えない防護罩となり、ハッカーの利益獲得を大きく制限しました。
イーサリアム上のDOTの流動性は非常に乏しく、これだけの10億枚のトークンを消化できるはずもなく、ハッカーが急いで売却して現金化しようとすると、価格が大きく崩れ、実際の価格は1セント未満にまで下落しました。
もしもより深い流動性や価値の高いブリッジ資産で同じ脆弱性があった場合、損失は数十倍に膨らんだ可能性があります。執筆時点で、DOTの取引価格は約1.17ドルで、過去24時間で5%下落しています。
この事件は再び示しています:ハッカーが「無限鋳造権」を持っていても、最終的にアービトラージに成功するかどうかは、市場の流動性と取引の深さに依存するということです。著名なブロックチェーンセキュリティ機関CertiKは、この攻撃を確認し、ハッカーは橋渡しトークンの鋳造と売却を通じて約23.7万ドルの利益を得たと発表しました。
現時点では、Hyperbridgeの公式はこのハッカー事件について公式コメントを出していません。
出典:X/@CertiKAlert
120.54K 人気度
42.28K 人気度
29.76K 人気度
776.05K 人気度
749.32K 人気度
暗号通貨界で最もひどい強盗事件?ハッカーが10億ドル相当のDOTコインを鋳造したが、盗んだのはわずか23万ドルだけ
ハッカーはHyperbridgeのクロスチェーンブリッジの脆弱性を悪用し、空から10億枚のDOTトークンを鋳造しました。額面価値は119億ドルに達しますが、市場の流動性不足により、最終的には約23.7万ドルしか現金化できませんでした。
暗号通貨の攻撃事件は絶えませんが、こうした「大きなリスクを取って小さな利益を得る」ケースはあまり見られません。今日(13日)早朝、ハッカーはHyperbridgeのクロスチェーンブリッジの脆弱性を突き、イーサリアム上で空から10億枚のPolkadot(DOT)トークンを鋳造し、その名目価値は119億ドルに達しました。しかし、これらのトークンを売却しようとした際、流動性不足により、最終的には約23.7万ドルのイーサリアムしか得られませんでした。
注意すべき点は、ハッカーの攻撃対象は「クロスチェーンブリッジのスマートコントラクト」であり、Polkadotメインネット上のネイティブなDOTトークンには影響がなかったことです。この脆弱性の原因は、HyperbridgeのEthereumHostコントラクトが、クロスチェーンメッセージをTokenGatewayに渡す前に、その真偽を正しく検証できなかったことにあります。
出典:X/@OnchainLens
クロスチェーンブリッジはブロックチェーンアーキテクチャの中で最も脆弱な部分であり、トークンコントラクトの管理権限を握っているため、検証メカニズムに穴があれば、ハッカーは簡単に無限にトークンを鋳造する権利を得ることができます。
攻撃手法:偽造メッセージ、管理権の奪取、無限鋳造
オンチェーンの追跡によると、ハッカーはdispatchIncomingを通じて偽造メッセージを送信し、それをTokenGateway.onAcceptに成功裏に導入しました。通常、システムはPolkadotチェーン上の状態に基づいてこのメッセージの真偽を確認すべきですが、検証機構は約束値を「ゼロ」に記録しており、これは検証プロセスが完全に回避されたか、存在しなかったことを意味します。そのため、システムはこの偽のメッセージを合法的な指示と誤認しました。
受け入れられたメッセージは直ちに、橋渡し用のPolkadotトークンコントラクトのchangeAdmin機能を実行し、管理者権限を攻撃者のアドレスに移譲しました。管理権を取得した攻撃者は、単一の取引で10億枚のDOTを鋳造し、Odos Router V3を通じてこれらのトークンをUniswap V4のDOT-ETHプールに投入、多回の取引で価格差を利用して最終的に約108.2 ETHを引き出しました。
「流動性不足」が逆に防護罩に
金融市場では、「流動性不足」は巨大な鯨や大口投資家にとって最も頭を悩ませる問題ですが、皮肉なことに、今回の流動性不足は逆に見えない防護罩となり、ハッカーの利益獲得を大きく制限しました。
イーサリアム上のDOTの流動性は非常に乏しく、これだけの10億枚のトークンを消化できるはずもなく、ハッカーが急いで売却して現金化しようとすると、価格が大きく崩れ、実際の価格は1セント未満にまで下落しました。
もしもより深い流動性や価値の高いブリッジ資産で同じ脆弱性があった場合、損失は数十倍に膨らんだ可能性があります。執筆時点で、DOTの取引価格は約1.17ドルで、過去24時間で5%下落しています。
この事件は再び示しています:ハッカーが「無限鋳造権」を持っていても、最終的にアービトラージに成功するかどうかは、市場の流動性と取引の深さに依存するということです。著名なブロックチェーンセキュリティ機関CertiKは、この攻撃を確認し、ハッカーは橋渡しトークンの鋳造と売却を通じて約23.7万ドルの利益を得たと発表しました。
現時点では、Hyperbridgeの公式はこのハッカー事件について公式コメントを出していません。
出典:X/@CertiKAlert