یک میلیارد DOT از هیچ خلق شد، اما هکر فقط ۲۳۰٬۰۰۰ دلار به دست آورد.
نویسنده: ژو، چینکچر
در ۱۳ آوریل، ساعت ۱۰ صبح به وقت پکن، پلتفرم نظارت بر زنجیرهای هشدارهایی صادر کرد: صدور غیرعادی داراییهای پلزده از پولکادات به شبکه اتریوم رخ داده بود.
بر اساس تحلیل CertiK، مهاجم یک درخواست میانزنجیرهای با طراحی دقیق را از طریق پروتکل ISMP هاپربریج به قرارداد HandlerV1 در شبکه اتریوم ارسال کرد، همراه با یک اثبات MMR واقعی که قبلاً پذیرفته شده بود، و با موفقیت مکانیزم تأیید را دور زد.
BlockSec Phalcon سپس یک هشدار فنی منتشر کرد و این آسیبپذیری را بهعنوان یک آسیبپذیری تکرار اثبات MMR طبقهبندی نمود. بر اساس تحلیل آنها، ریشه آسیبپذیری در این است که مکانیزم محافظت در برابر پخش مجدد قرارداد HandlerV1 تنها بررسی میکند که آیا هَش یک درخواست خاص قبلاً استفاده شده است یا خیر، اما فرایند اعتبارسنجی مدرک، بار مفید درخواست ارسالشده را به مدرک تأییدشده متصل نمیکند.
این شکاف منطقی به مهاجم اجازه داد تا اثبات معتبر تاریخی را مجدداً پخش کند و آن را با یک درخواست مخرب تازهساخته جفت نماید، و بدین ترتیب عملیات ChangeAssetAdmin را از طریق مسیر TokenGateway.onAccept() اجرا کند و حقوق مدیریت و ضرب قرارداد DOT پیچیدهشده روی اتریوم را منتقل نماید (آدرس: 0x8d...8F90b8) به آدرسی که توسط مهاجم کنترل میشود.
بر اساس دادههای آن-چین، پس از به دست آوردن حقوق مینت، مهاجم ۱ میلیارد DOT پلزده را مینت کرد که تقریباً ۲۸۰۵ برابر عرضه در گردش گزارششدهی حدود ۳۵۶,۰۰۰ از آن توکن در اتریوم در آن زمان بود.
در ادامه، مهاجم تمام چیپها را از طریق روتر اودوس و استخر نقدینگی یونیسواپ V4 به حدود ۱۰۸.۲ اتر تبدیل کرد و آن را به حساب خارجی خود منتقل نمود و بر اساس قیمت آن زمان، سودی در حدود ۲۳۷,۰۰۰ دلار به دست آورد، در حالی که کل حمله تنها حدود ۰.۷۴ دلار کارمزد گس مصرف کرد.
BlockSec Phalcon همچنین اشاره کرد که حمله قبلی با استفاده از همین روش، توکنهای MANTA و CERE را هدف قرار داده و منجر به زیانی حدود ۱۲٬۰۰۰ دلار شده بود. مجموع خسارت وارده از هر دو حمله تقریباً ۲۴۲٬۰۰۰ دلار بود.
پس از این حادثه، صرافیهای پیشرو کره جنوبی، آپביט و بیتهمب، به منظور جلوگیری از خطرات احتمالی سپردهگذاری جعلی، تعلیق خدمات سپردهگذاری و برداشت برای شبکه Polkadot در پلتفرمهای AssetHub و DOT را اعلام کردند.
مقامات پولکادات اعلام کردند که این آسیبپذیری تنها DOTهایی را که از طریق هایپربریدج به اتریوم پل زده شدهاند تحت تأثیر قرار میدهد و بر داراییهای DOT در اکوسیستم پولکادات یا DOTهایی که از طریق سایر پلهای بینزنجیرهای منتقل شدهاند، تأثیری ندارد. پولکادات و پاراچینهای آن، و همچنین توکن بومی DOT، امن و دستنخورده باقی ماندهاند. در حال حاضر، هایپربریدج به منظور بررسی این موضوع تعلیق شده است.
شایان ذکر است که اگرچه مقیاس ضرب به یک میلیارد رسید، زیان واقعی بسیار کمتر از رقم نظری بود. به دلیل نقدینگی بسیار محدود آن-چین DOT پیچیده شده در اتریوم، فروش متمرکز ۱ میلیارد توکن، قیمت DOT پیچیده شده را بلافاصله از ۱.۲۲ دلار به ۰.۰۰۰۱۲۸۳۱ دلار سقوط داد، افتی ۹۹.۹۸ درصدی که بیشتر توکنها را برای تسویه ناکارآمد کرد.
بر اساس دادههای CoinMarketCap، قیمت توکن بومی DOT نیز به دلیل احساسات بازار، برای مدت کوتاهی تقریباً ۵ درصد کاهش یافت.
کاربران در ایکس صادقانه اظهار کردند که چه کسی فکرش را میکرد که میمکوین بینزنجیرهای DOT، که زمانی در کنار اتریوم قرار داشت، به این شکل در شبکههای اجتماعی منفجر شود. پلهای میانزنجیرهای بار دیگر به «پاشنه آشیل» دنیای رمزارزها تبدیل شدهاند و از یک حوزه پیشتر نادیده گرفته شده به صحنهای ویرانگر بدل گشتهاند. وقتی یک میلیارد DOT از ناکجاآباد ظاهر شد، همه شاخصهای فنی بیارزش شدند.
برخی از کاربران به شوخی اظهار کردند که نقدینگی پایین این بار پولکادات را نجات داد و زیان واقعی را در حدود ۲۳۷٬۰۰۰ دلار نگه داشت.
با این حال، نقدینگی پایین داراییهای پلزده، در حالی که سود هکر را محدود میکرد، آسیبپذیریهای بالقوه لایه تعاملپذیری میانزنجیرهای را آشکار ساخت.
گزارش شده است که هایپربریدج (Hyperbridge)، توسعه یافته توسط لابراتوارهای پولیتوپ (Polytope Labs)، یک پروژه تعاملپذیری بینزنجیرهای در اکوسیستم پولکادات است که مدتها به جای کمیتههای امضای چندگانه، بر اثباتهای رمزنگاریشده به عنوان مکانیزم امنیتی اصلی خود تکیه کرده و خود را به عنوان یک زیرساخت بینزنجیرهای با حداقل اعتماد معرفی میکند. پروژه قبلاً بر مقاومت خود در برابر حملات رایج پل تأکید کرده بود.
اما این حادثه ممکن است نشان دهد که یکپارچگی مکانیزم اثبات رمزنگاری بهتنهایی برای تضمین امنیت کافی نیست؛ منطق پیادهسازی خاص قرارداد Gateway در سمت اتریوم نیز سطح حمله را تشکیل میدهد.
از دیدگاه وسیعتر، این حادثه بازتابدهنده وضعیت امنیتی وخیم و مداوم در دیفای از سال ۲۰۲۶ است. چندین حملهٔ مهم امسال رخ داده است، از جمله وینوس که بهدلیل دستکاری قیمت ۲٫۱۵ میلیون دلار بدهی بد ایجاد کرد، Resolve بیش از ۸۰ میلیون USR ضرب کرد و Drift برای بیش از ۲۸۵ میلیون دلار دارایی هک شد، با روشهای مختلف حمله و دامنهٔ وسیعی از مناطق آسیبدیده.
تصاحب حقوق ضرب برای صدور نامحدود یک مدل حمله جدید نیست. با این حال، به دلیل نقدینگی فوقالعاده اندک هایپربریدج، زیانها به طور غیرمنتظرهای به حداقل رسیدند.
بر اساس دادههای CertiK، تنها در ماه مارس ۴۶ حادثه امنیتی ثبت شد که با مجموع خسارات تقریبی ۳۹.۸ میلیون دلار، بالاترین رکورد ماهانه از نوامبر ۲۰۲۴ به شمار میرود. CertiK همچنین اشاره کرد که فراوانی بهرهبرداری از آسیبپذیریهای کد افزایش یافته است، که احتمالاً با رشد ابزارهای کشف آسیبپذیری با کمک هوش مصنوعی مرتبط است.
افزایش فرکانس حملات نیز صنعت را وادار میکند تا مرزهای امنیت و مقررات را بازنگری کند. دانت دیسپارته، مدیر ارشد استراتژی Circle، پیش از این در واکنش به سرقت پروتکل Drift، از پروتکلها، کیفپولها، صرافیها و صادرکنندگان استیبلکوین خواسته بود تا امنیت و پاسخگویی را یک تعهد مشترک بدانند. او پیشنهاد داد که پروتکلهای دیفای میتوانند اقدامات حفاظتی فنی آن-چین را با الهام از مکانیزمهای سنتی قطعکننده بازار (circuit breaker) توسعه دهند و از قوانین مرتبط حمایت کنند تا استانداردهای حفاظت از حقوق مالکیت و حریم خصوصی مالی پیش از وقوع حادثه بزرگ بعدی، در قانون گنجانده شوند.
سلب مسئولیت: این محتوا صرفاً برای اطلاعرسانی عمومی و برندینگ ارائه شده و به منزله مشاوره مالی، سرمایهگذاری، حقوقی یا مالیاتی تلقی نمیگردد. هیچیک از رویدادها، جوایز، رویدادهای آنلاین یا اطلاعات مرتبط ذکرشده در اینجا نباید بهعنوان توصیه، درخواست یا دعوت برای خرید، فروش، معامله یا هرگونه اقدام دیگر در رابطه با داراییهای رمزارزی یا استفاده از خدمات تلقی شوند. داراییهای رمزارزی با نوسانات بالایی همراه بوده و ممکن است منجر به زیان شوند. خدمات WEEX و رویدادهای آنلاین ممکن است در تمام مناطق در دسترس نبوده و مشمول قوانین، مقررات و شرایط احراز صلاحیت مربوطه هستند. شما مسئول رعایت قوانین محلی در استفاده از خدمات WEEX هستید و باید پیش از انجام هرگونه فعالیت مرتبط با ارزهای دیجیتال، ریسکهای آن را بهدقت بررسی کنید.
ممکن است شما نیز علاقهمند باشید

نرخ هش بیتکوین در نیمه اول سال به پایینترین حد خود در پنج سال اخیر رسید

۴۵٪ از اوکراینیها به دلیل جنگ کمتر استراحت میکنند، اما تقاضا برای سفر حفظ شده است

کره جنوبی: ۱.۵ میلیارد دلار به دلیل اثر اهرمی از دست رفته است

گزارش Tiger Research: پس از انتشار استیبلکوینها، چگونه میتوان درآمد کسب کرد؟

شرکتی که بالاخره از هوش مصنوعی استفاده کرد، متوجه شد که کسب و کارش توسط شرکتهای مدل بزرگ ربوده شده است

فهرست شرکتهای مدلهای بزرگ هوش مصنوعی در چین و آمریکا: OpenAI و Anthropic ممکن است در سهماهه چهارم ۲۰۲۶ به بورس بروند، DeepSeek در حال آمادهسازی برای لیست شدن در بورس A-shares

کسب و کار 10 وظیفه اولویتدار برای دولت جدید به رهبری کورتسکی را اعلام کرد

درآمد نیم ساله DGrid Genesis از ۲۳ میلیون دلار فراتر رفت: ورود هوش مصنوعی غیرمتمرکز به مرحله تأیید پرداخت واقعی

سهام شرکتهای معدنی از ارزهای دیجیتال فاصله میگیرند

SwissBorg: پلتفرم فرش قرمز و پاداشهای سخاوتمندانه برای کاربران اروپایی را پهن میکند

مدل جیپیمورگان از تداوم ازدحام موقعیتها در سهام هوش مصنوعی خبر میدهد

نهاد ناظر هنگکنگ گروه کارشناسی اوراق قرضه توکنیزهشده تشکیل داد

تشکیل گروه کارشناسی اوراق قرضه توکنیزهشده توسط اداره پولی هنگکنگ

مایکل بری میگوید سهام هنگکنگ دارای ارزش هستند

آیا فرانسه واقعاً به سال 2008 بازمیگردد؟

بوری بزرگ: اکنون زمان مناسبی برای خرید سهام ارزان در بازار هنگ کنگ است

باکس کوچک 150 دلاری برای استخراج solo، قدرت محاسباتی کل شبکه را به چالش میکشد و 200 هزار دلار استخراج میکند

شرکت بیتدیر ۳۶ میلیون دلار برای ساخت کارخانه در آمریکا سرمایهگذاری کرد

«OpenAI حتماً سقوط خواهد کرد، بازارهای جهانی ممکن است دچار تصفیه شوند» مقاله ۱۵۰۰۰ کلمهای بزرگترین فروشنده باعث بحث و جدل شد

بازگشت نهادها! ورود خالص ۷۹۲۰ میلیون دلار به ETF بیتکوین در آمریکا در یک روز و جذب ۳.۶۸ میلیارد دلار در سه روز

قاضی آرژانتینی دستور مسدود کردن ۲۵ کیف پول رمزارز در تحقیقات $LIBRA را صادر کرد

توقف خریدهای Strategy و ضعف جریانهای ETF فشار بر تقاضای بیتکوین را افزایش میدهد

استیبلکوینهای ژاپنی در حال نفوذ به فروشگاهها و بانکها هستند... کره جنوبی در حال چرخش در قانونگذاری است

پژوهشگر سابق بنیاد اتریوم، فرانچسکو داماتو به ایتلبز پیوست

پیشنهاد انجمن اتریوم پرداختهای خصوصی درونزنجیرهای را هدف گرفته است

گلدمن ساکس: مراکز داده هوش مصنوعی محرک تقاضای ذخیرهسازی در آمریکا خواهند بود

هزینه عمومی شدن DeFi: درک توزیع سود و خطرات پنهان Aave Stable Vaults

تحلیل عمیق ارزش سرمایهگذاری NEAR: از تکامل زیرساخت به بازنگری ارزش سیستمعامل هوش مصنوعی در زنجیره

مبارزه بیتکوین با اسپم با پاسخ 'DOG Mode' مواجه شد
![[تحلیل بازار] سقوط شدید KOSPI و برآورد ‘یک نفر از هر 30 بزرگسال کرهای’ در معرض مارجین کال… صورتحساب بدهیها به دست آمد](/public-static/32_e2da91fed2.png?format=avif)





