佳佳币资讯站黑客利用Hyperbridge漏洞盗取10亿虚假波卡代币
在今日凌晨,黑客利用Hyperbridge跨链桥的以太坊网关合约中的漏洞,未经授权地创建了10亿枚波卡代币,并利用这笔资金在单次交易中兑换了大约108.2个以太坊,约合23.7万美元。
这次攻击大约发生在世界标准时间凌晨3点55分,专门针对通过Hyperbridge连接到以太坊的波卡资产,没有影响到波卡的原生区块链、平行链、质押和治理功能。Hyperbridge使用其互操作状态机协议连接多链资产时,遇到了安全漏洞。团队在事件发生后通过社交平台发表声明,称:“我们的一个以太坊合约遭到了攻击,目前我们已经暂停了所有的桥接服务,并建议合作伙伴暂停相关交易。”
几小时后,波卡官方账号对事件进行了进一步的解释:“我们注意到Hyperbridge以太坊网关合约存在漏洞。这次漏洞仅影响通过Hyperbridge桥接到以太坊的波卡代币,波卡生态系统中的原生代币以及其他桥接通道的资产都没有受到影响。波卡主网、平行链和原生代币仍然是安全的。”
攻击技术分析
根据区块链分析师和安全公司的验证,攻击发生在第24,868,295个区块,交易哈希为0x240a…1109。攻击者使用了一个只存在33天的钱包地址,通过部署恶意子合约并向HandlerV1合约提交伪造的波卡共识证明来入侵。
安全研究人员发现三个关键漏洞:首先,该桥接合约的挑战期被设置为0,使得伪造的状态承诺可以被立即接受;其次,HandlerV1合约的证明验证功能存在校验缺陷;最后,共识客户端合约未进行公开源代码验证。攻击者通过隐私工具为这个钱包提供了资金,并在攻击前进行了实际环境测试部署。
攻击者一旦获得了控制权,就修改了桥接代币合约的管理权限,制造了全部10亿代币。随后,他们通过去中心化交易所的路线转移了这些虚假资产,耗尽了流动池中的所有可用资金。在套利机器人复制攻击模式到其他封装资产之前,攻击者已经获得了108.2个以太坊。考虑到次级提取损失,事件的总损失约为25万美元,主要受限于流动池的规模。
市场连锁反应
事件引发了市场的即时波动:受影响的流动池中桥接波卡的价格从大约1.22美元暴跌至几乎为零。韩国的几家交易所暂停了代币的充提业务作为预防措施。杠杆仓位清算金额超过72.8万美元,与Hyperbridge封装资产相关的流动性出现了暂时中断,池内的名义价值损失约为2000万美元。
由于Hyperbridge为多条波卡平行链的封装代币提供支持,其网关合约成为多个桥接资产的共同故障点。以太坊主网合约现在已经完全冻结,以防止损失进一步扩大。截至发稿时,攻击者的资金正通过隐私协议以小额的方式转移到新的钱包,尚未检测到大额的跨链转移。
这已经是去中心化金融领域发生的又一起桥接攻击事件。尽管Hyperbridge曾以波卡共识机制为基础构建加密验证体系,但这次攻击表明:当关键参数如挑战期设置不当,或者上游验证合约缺乏公开审计时,即使是先进的设计方案也可能失效。
目前,相关方尚未发布完整的取证报告,区块链安全公司及独立分析师正在持续监控资金动向。这一事件再次提醒我们,即便是在基于波卡等成熟网络构建的协议中,跨链基础设施仍然面临持续的风险。