Súlyos biztonsági rést használtak ki a Polkadot és Ethereum hálózatokat összekötő Hyperbridge protokollon, amely során egy támadó 1 milliárd fedezetlen DOT tokent hozott létre. Bár a támadó elméletileg eurómilliárdos lehetett volna, a piaci likviditás hiánya miatt „csak” mintegy 240 000 dollárt sikerült ténylegesen ellopnia.
A kriptovilágban ritka az ilyen szintű irónia: alig két héttel azután, hogy a Hyperbridge fejlesztői április elsejei tréfaként egy fiktív hackertámadásról posztoltak, a valóság kíméletlenül beköszönt. A fejlesztők akkor még azzal dicsekedtek, hogy a rendszerük „feltörhetetlen”, ám a mostani incidens rávilágított a keresztláncú (cross-chain) megoldások rendszerszintű kockázataira, és a Polkadot natív tokenjét is a mélybe rántotta.
Hogyan történhetett meg? A technikai háttér
A biztonsági szakértők szerint a hibát egy úgynevezett „Merkle Mountain Range (MMR) proof replay” sebezhetőség okozta. Ez lényegében egy kriptográfiai vakfolt, amely lehetővé tette a támadó számára, hogy régi, már érvényesített biztonsági igazolásokat használjon fel újra az új, rosszindulatú kéréseihez. A rendszer legnagyobb hibája az volt, hogy a VerifyProof() funkció nem ellenőrizte, hogy a beküldött adatcsomag valóban összetartozik-e az igazolással – csak azt nézte, hogy az adott azonosítót használták-e már korábban.
„A támadó adminisztrátori jogokat szerezve utasította az okosszerződést 1 milliárd DOT token legyártására az Ethereum hálózatán.”
A likviditás hiánya mentette meg a piacot
Bár az 1 milliárd token elméleti értéke csillagászati lett volna, a támadó falakba ütközött az eladásnál. Mivel az Ethereum hálózatán lévő DOT-medencék (liquidity pools) rendkívül sekélyek voltak, a hatalmas eladási hullám pillanatok alatt lenyomta az árfolyamot 1,22 dollárról a cent töredékére. Így a hacker a várt milliárdok helyett csupán töredékösszeget tudott kimenekíteni.
- 240 000 dollár: Ennyi ETH-t tudott összesen kiszedni a hacker a DOT likviditási poolból.
- 245 ETH: Egy korábbi, kisebb támadás során ellopott összeg (kb. 537 000 dollár), amit Tornado Cash-en keresztül mostak tisztára.
- $1,14: A Polkadot (DOT) árfolyama a hírre 5%-ot esett, megközelítve a mindenkori, 1,13 dolláros mélypontját.
Mit jelent ez a befektetőknek?
A magyar befektetők számára a legfontosabb tanulság, hogy a hálózatok közötti hidak (bridge-ek) továbbra is a Web3 leggyengébb láncszemei maradnak. Bár a Parity Technologies megerősítette, hogy maga a Polkadot főhálózata biztonságos, a piaci pszichológia nem válogat: ha egy ökoszisztéma egyik kulcsfontosságú eleme elbukik, az az egész márkára árnyékot vet. Aki DOT-ot vagy más cross-chain eszközt tart, annak érdemes fokozottan figyelnie a hidak biztonsági auditjaira, és kerülni a túlzott magabiztosságot sugárzó projekteket.
Forrás: CryptoSlate