Một hacker đã khai thác giao thức tương tác chuỗi chéo Hyperbridge (dựa trên Polkadot), thu về khoảng 237.000 USD và làm dấy lên lo ngại mới về bảo mật của hạ tầng cầu nối blockchain.
Theo dữ liệu blockchain được chia sẻ bởi nền tảng an ninh mạng CertiK, một kẻ tấn công đã tạo ra 1 tỷ token Polkadot (DOT) được kết nối thông qua Hyperbridge chỉ trong một giao dịch duy nhất. Lỗ hổng này chỉ ảnh hưởng đến DOT trên Ethereum được kết nối qua Hyperbridge, trong khi các token DOT gốc và hệ sinh thái Polkadot nói chung vẫn không bị ảnh hưởng, Polkadot lưu ý trong một bài đăng trên X vào thứ Hai.
CertiK cho biết kẻ tấn công đã tạo ra được các token sau khi “lách luật bằng một tin nhắn giả mạo để thay đổi quản trị viên của hợp đồng token Polkadot trên Ethereum.” Tính thanh khoản hạn chế trong nhóm DOT được kết nối đã giới hạn số tiền thu được ở mức 108,2 Ether, trị giá khoảng 237.000 USD.
Hyperbridge tạm dừng hoạt động sau vụ tấn công
Hyperbridge đã tạm ngừng hoạt động sau vụ tấn công trong khi nhóm phát triển tiến hành nâng cấp, và cộng tác viên Web3 Philosopher cho biết chẩn đoán ban đầu chỉ ra bằng chứng độc hại đã đánh lừa trình xác minh cây Merkle của giao thức.
Vụ tấn công này đáng chú ý vì Hyperbridge tự quảng bá mình là một lớp tương tác dựa trên bằng chứng được xây dựng để cung cấp “bảo mật nút đầy đủ” cho các cầu nối chuỗi chéo. Sự cố này cũng diễn ra sau khi Aethir tiết lộ vào tuần trước rằng họ đã ngăn chặn được một lỗ hổng bảo mật cầu nối riêng biệt và giữ cho thiệt hại của người dùng dưới 90.000 USD.
Công ty nghiên cứu an ninh mạng Blocksec Falcon cho biết nguyên nhân gốc rễ có thể là lỗ hổng phát lại bằng chứng Merkle Mountain Range (MMR) do thiếu liên kết bằng chứng-yêu cầu, mặc dù nguyên nhân gốc rễ cuối cùng vẫn chưa được giao thức xác nhận.
Theo CoinGecko, đồng tiền điện tử DOT bản địa đã giảm xuống mức thấp nhất trong ngày là 1,16 USD vào thứ Hai, trước khi phục hồi và giao dịch trên 1,19 USD tại thời điểm viết bài.
THEO DÕI CHÚNG TÔI TRÊN FACEBOOK | TELEGRAM | TWITTER
Miễn trừ trách nhiệm: Tất cả nội dung trên website này đều vì mục đích cung cấp thông tin và không phải là lời khuyên đầu tư. Bạn đọc nên tự tiến hành nghiên cứu trước khi đưa ra quyết định đầu tư. Chúng tôi không chịu trách nhiệm, trực tiếp hoặc gián tiếp, đối với bất kỳ thiệt hại hoặc mất mát nào phát sinh liên quan đến việc sử dụng hoặc dựa vào bất kỳ nội dung nào bạn đọc trên website này.
