• 一名黑客利用重放漏洞通过Hyperbridge网关铸造了10亿个假Polkadot代币。
• DOT的价格下跌了6%，降至1.16美元后恢复，黑客获利23.7万美元的以太币。
• Hyperbridge的开发者现在预计将发布补丁以确保管理智能合约功能的安全。

4月13日，区块链安全公司Certik向加密货币社区警告了一个涉及Hyperbridge网关的漏洞，其中一名恶意行为者在以太坊网络上铸造了10亿个未经授权的Polkadot代币。事件发生后，DOT的价格短暂从1.23美元暴跌至1.16美元，下降近6%。然而，在本文撰写时，代币已抹去部分损失，回升至1.19美元。

根据链上数据和安全报告，攻击者利用了Hyperbridge网关智能合约中的一个漏洞。通过使用伪造的消息获得以太坊上桥接的DOT合约的管理权限，施害者触发了一笔单一交易，生成了10亿个代币。

尽管创建了大量代币，但攻击者无法以市场价值兑现，因为在以太坊上的桥接版本的DOT流动性较低。

Lookonchain的分析确认，黑客在一次交换中清算了全部10亿个代币。这笔交易产生了大约108.2个以太币，交易时价值约为23.7万美元。如果桥接资产的交易更加广泛，财务影响可能会大大增加。

安全专家迅速澄清，漏洞仅限于以太坊上的Hyperbridge网关。Polkadot的核心中继链和在Polkadot网络上存在的真实DOT代币则保持安全，并未受到事件影响。

在其初步的事后分析中，Certik表示，漏洞源于Merkle Mountain Range的calculateroot功能中的重放漏洞。这个缺陷意味着证明没有正确绑定到请求上，允许攻击者重用旧的状态承诺。在此之后，tokengateway.handlechangeadmin功能未能执行严格的检查，让攻击者任意输入请求数据。

因此，恶意代码在系统中 unchecked传播，最终使攻击者能够更改Polkadot代币的管理员。正如Certik所指出：

“攻击者提交的‘证明’值是从上一笔交易中的‘_stateCommitments’复制的……从而使重放成为可能。”

Hyperbridge尚未就网关智能合约中的具体漏洞发布完整的事后分析，但预计开发者将实施补丁，以防止未来发生类似的漏洞。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。