Найжахливіша крадіжка у криптосфері? Хакер створив 1 мільярд доларів у DOT, але викрав лише 230 тисяч доларів

Хакери використали уразливість міжланцюгового мосту Hyperbridge, щоб безпосередньо створити 1 мільярд монет DOT, номінальна вартість яких становила 1,19 мільярда доларів, але через серйозний дефіцит ліквідності на ринку вони в підсумку отримали лише близько 237 тисяч доларів США.

Криптовалютні атаки трапляються безперервно, але випадки, коли «ризикують великим, заробляючи мало», дійсно рідкісні. Сьогодні (13 числа) раніше хакер використав уразливість міжланцюгового мосту Hyperbridge, щоб безпосередньо створити 1 мільярд Polkadot (DOT) на Ethereum, номінальною вартістю до 1,19 мільярда доларів. Однак, коли він спробував продати ці монети, через гострий дефіцит ліквідності він отримав лише близько 237 тисяч доларів у ETH.

Потрібно уточнити, що цілью атаки хакера був «розумний контракт міжланцюгового мосту», тому нативний DOT на основній мережі Polkadot не постраждав. Основна причина цієї уразливості — у тому, що контракт Hyperbridge EthereumHost перед передачею міжланцюгових повідомлень до TokenGateway неправильно перевіряв достовірність повідомлень.

Джерело зображення: X/@OnchainLens

Міжланцюгові мости завжди були найуразливішим елементом архітектури блокчейну, оскільки вони мають управління контрактами токенів. Якщо механізм перевірки буде зламаний, хакери зможуть легко отримати необмежене право на створення токенів.

Методи атаки: підробка повідомлень, захоплення управління, необмежене створення монет

Блокчейн-розслідування показало, що хакер подав підроблене повідомлення через dispatchIncoming і успішно направив його до TokenGateway.onAccept. Спочатку система повинна була перевірити достовірність цього повідомлення, базуючись на стані мережі Polkadot, але механізм перевірки записав обіцянку як «повністю нульову», що означає, що процес перевірки був повністю обійдений або взагалі не існував. В результаті система сприйняла цю фальшиву команду як легітимну.

Прийняте повідомлення одразу активувало функцію changeAdmin контракту мосту Polkadot, передаючи права адміністратора на адресу атаки. Отримавши управління, зловмисник у одній транзакції створив 1 мільярд DOT і через Odos Router V3 додав ці монети до пули DOT-ETH на Uniswap V4. Після кількох обмінів за різними цінами він у підсумку отримав близько 108.2 ETH.

«Недостатня ліквідність» стала захисним щитом

У фінансових ринках «недостатня ліквідність» зазвичай є головною проблемою для великих гігантів, але іронія полягає в тому, що цього разу саме дефіцит ліквідності став невидимим захисним щитом, значно обмежуючи прибутки хакера.

Через дуже обмежену глибину ліквідності DOT на Ethereum, ці 1 мільярд додаткових монет не могли бути поглинуті ринком. Коли зловмисник почав швидко продавати їх, різке падіння цін призвело до того, що фактична ціна кожної монети опустилася менше ніж до 1 цента.

Якщо б цей уразливий механізм був застосований до більш глибокої або більш цінної міжланцюгової активу, збитки могли б сягати десятків разів більшими. На момент написання статті ціна DOT становила приблизно 1.17 долара, за останні 24 години вона знизилася на 5%.

Цей інцидент ще раз підтверджує: навіть якщо хакер має «необмежене право на створення монет», успіх у арбітражі залежить від ринкової ліквідності та глибини торгів. Відомий інститут безпеки блокчейну CertiK підтвердив цей випадок атаки і заявив, що зловмисник заробив близько 237 тисяч доларів шляхом створення і продажу мостових токенів.

На даний момент офіційні представники Hyperbridge ще не зробили публічних коментарів щодо інциденту.

Джерело зображення: X/@CertiKAlert

• Статтю опубліковано з дозволу: «Блокчейн»
• Оригінальна назва: «Найгірший пограбунок? Хакер створив 10 мільярдів доларів $DOT, але через «цю причину» взяв лише 237 тисяч доларів»
• Автор статті: Блокчейн-сестра MEL