Хакер зламав Hyperbridge - протокол міжланцюжкової сумісності між мережами Polkadot та Ethereum. Зловмисник відчеканив 1 мільярд бриджованих токенів Polkadot на Ethereum в одній транзакції, але через низьку ліквідність у пулі вивів лише 108,2 ETH - близько $237 000. Нативні DOT-токени і сама мережа Polkadot не постраждали.
Як хакер отримав контроль над контрактом
За даними кіберплатформи CertiK, зловмисник провів через протокол підроблене повідомлення, яке змінило адресу адміністратора смартконтракту DOT-токена на Ethereum. Це дало повний контроль над механізмом карбування. Хакер скористався правами і відчеканив 1 млрд токенів без реального забезпечення.
Обмежена ліквідність у пулі стала природним бар'єром. Замість потенційних мільярдів зловмисник отримав лише 108,2 ETH - все, що фізично було доступне для обміну. Решта відчеканених токенів лишилась без виходу на ліквідні активи. Протокол рекламував себе як рішення з повновузловою безпекою для кросчейн-мостів - атака поставила ці твердження під серйозний сумнів.
Деталі інциденту
Технічна причина: вразливість у MMR-доказах
Компанія Blocksec Falcon назвала ймовірну технічну причину: вразливість повторного використання доказів Merkle Mountain Range (MMR) через відсутність прив'язки доказу до конкретного запиту. Простіше кажучи, протокол не перевіряв, чи відповідає криптографічний доказ саме цьому виклику - і зловмисник вставив старий дійсний доказ у новий запит, щоб отримати незаконний доступ.
Контриб'ютор Hyperbridge Web3 Philosopher підтвердив, що початковий аналіз вказує на зловмисний доказ, який обдурив верифікатор дерева Меркла. Остаточну причину команда ще уточнює. MMR-вразливості у мостах - давня проблема галузі. Ризик полягає в тому, що один доказ може авторизувати різні дії, якщо протокол не прив'язує його до конкретного контексту.
Реакція та ширший контекст
Hyperbridge зупинив роботу одразу після виявлення атаки, поки команда готує апгрейд. Polkadot у своєму X-пості підтвердив, що нативні DOT-токени і основна мережа в безпеці. Токен DOT зреагував падінням до добового мінімуму $1,16, але швидко відновився вище $1,19.
Цей злом - не єдиний за останні дні. У неділю протокол SubQuery Network втратив $130 000 через брак контролю доступу в коді дворічної давнини. За підсумками першого кварталу 2026 DeFi-хакери вкрали $168 млн з 34 протоколів - набагато менше, ніж $1,58 млрд за той самий період 2025 року. Але атаки на кросчейн-мости тривають, і цей кейс показує: навіть доказова архітектура не гарантує захисту, якщо логіка перевірки доказів має прогалини.
Коментарі
Ваша e-mail адреса не оприлюднюватиметься. Обов'язкові поля позначені *