大规模以太坊漏洞导致假冒 Polkadot 资产泛滥，供应量增加 10 亿单位

恶意行为者利用以太坊上部署的 Hyperbridge 网关智能合约中的安全缺陷，通过未经授权的方式创建了 10 亿个桥接 Polkadot 代币。网络安全监控公司 CertiK 发现并报告了这一漏洞。他们的分析显示，犯罪者部署了一条捏造的消息，以获取对以太坊上运行的桥接 DOT 代币合约的管理权限。 https://twitter.com/CertiKAlert/status/2043557571609731268?s=20 利用这些提升的权限，黑客通过一次恶意交易生成了 10 亿个代币。链上分析平台 Lookonchain 记录称，这一大量代币供应立即通过一项综合交易清算。犯罪者从这次大规模销售中获得了 108.2 ETH，交易期间价值约为 237,000 美元。这一相对温和的利润表明，以太坊上桥接资产的可用流动性很薄弱。由于打包变体的持有者和交易量很少，市场缺乏足够的深度来以接近公允价值的价格购买 10 亿枚代币。该安全事件仅影响 DOT 基于以太坊的表示形式，并没有损害 Polkadot 的主要中继链基础设施。 Polkadot 生态系统上的合法 DOT 加密货币遭受了零损害。只有 [[LINK_START_0]]以太坊[[LINK_END_0]] 上存在的 DOT 合成跨链表示形式成为此攻击的受害者。桥接加密货币作为与区块链无关的原生资产表示。它们的完整性完全依赖于底层智能合约的安全架构。 Hyperbridge 基础设施促进不同区块链网络之间的互操作性。其网关合约中的安全漏洞似乎提供了本次事件中被利用的漏洞。在撰写本报告时，Polkadot 的开发团队和 Hyperbridge 协议运营商都没有发布正式的公开声明。所采用的精确技术方法仍在调查中。攻击向量的完整确认仍在等待中。跨链桥漏洞和互操作性基础设施漏洞已成为整个加密货币生态系统持续存在的安全挑战。对于这一特定事件，与其他桥接攻击相比，金钱影响仍然相对有限，在其他桥接攻击中，恶意行为者已成功提取了数亿数字资产。尽管尚未发布全面的事件后分析文档，但 CertiK 的初步评估将消息伪造确定为实现管理权限升级的技术。当前经验证的数据确认攻击者的钱包地址在代币清算后收集了 108.2 ETH，在发布时没有检测到其他恶意活动。