&emoji=&slug=kriptovijesti&button_colour=b532ed&font_colour=ffffff&font_family=Poppins&outline_colour=ffffff&coffee_colour=FFDD00)
Ranjivost međulančanog mosta omogućila je napadaču krivotvoriti administratorske vjerodajnice, iskovati milijardu premoštenih DOT tokena i baciti ih na Ethereum, samo da bi otkrio da je ta slaba likvidnost pretvorila potencijalnu pljačku s devet znamenki u isplatu od četvrt milijuna dolara.
Eksploatacija je pogodila Hyperbridge, protokol za razmjenu poruka među lancima izgrađen na Polkadotu, negdje prošlog tjedna. Napadač je pronašao ranjivost koja im je omogućila da krivotvore poruku unakrsnog lanca koja izgleda legitimno, upotrijebi je za preuzimanje administratorske kontrole nad premoštenim DOT ugovorom na Ethereumu i iskuje milijardu tokena iz zraka. Zatim su preusmjerili svježe iskovane tokene kroz Odos i Uniswap u jednoj koordiniranoj transakciji, vrsti kirurškog poteza u više koraka koji je postao potpis sofisticiranih DeFi eksploatacija. Cijeli se niz dogodio dovoljno brzo da je zamjena već bila obavljena, dok je to netko primijetio.
Ovdje priča postaje zanimljiva. Jedna milijarda DOT-a zvuči katastrofalno, ali napadač je zaradio samo otprilike 237.000 dolara. Premošteni DOT na Ethereumu nosi djelić likvidnosti izvornog DOT-a na Polkadotovoj vlastitoj mreži, a bacanje te količine u plitke bazene srušilo je cijenu premoštenog tokena za više od 90%. Tržište jednostavno nije moglo apsorbirati pritisak prodaje, što je značilo da je napadačev vlastiti izlazak uništio većinu vrijednosti koju su pokušavali uhvatiti. To je perverzna vrsta prirodnog ograničenja, opseg eksploatacije postao je vlastito ograničenje.
Polkadot je brzo povukao čvrstu granicu između svoje osnovne infrastrukture i onoga što se dogodilo na Ethereumu. Polkadot relejni lanac nikada nije diran, a izvorni DOT koji se održavao na mreži ostao je nepromijenjen cijelo vrijeme. Izvorni DOT je nakratko pao kako su se vijesti proširile, tržišta su reagirala na naslove prije nego što su pročitala detalje, ali se oporavila bez veće trajne štete. Incident je u potpunosti bio sadržan u premoštenom predstavljanju tokena koji živi na Ethereumu, tehnički zasebnoj imovini s vlastitim ugovorom i vlastitim profilom rizika.
Hyperbridge je pauzirao rad čim je eksploatacija potvrđena i rekao je da istražuje glavni uzrok. Ukradena sredstva ostaju u napadačevom novčaniku, netaknuta, što bi moglo značiti nekoliko stvari: čekaju da prestane ispitivanje, nemaju čistu izlaznu rampu s obzirom na sljedivost u lancu ili oboje. Sigurnosne tvrtke za blockchain gotovo sigurno promatraju tu adresu.
Cross-chain mostovi su pojedinačna najiskorištavanija kategorija u kriptovaluti već nekoliko godina zaredom, a Hyperbridgeov incident dodaje još jednu podatkovnu točku obrascu koji se industrija borila razbiti. Temeljni izazov je da mostovi zahtijevaju pretpostavke o povjerenju na spoju između dvije različite mreže, a taj spoj je mjesto gdje napadači prvo gledaju. Krivotvorenje međulančane poruke za dobivanje administratorskih privilegija konceptualno nije novi vektor napada, ali njegovo izvršavanje dovoljno čisto da iskuje milijardu tokena prije nego što itko intervenira zahtijeva pravu tehničku sofisticiranost.
Za protokole koji se grade na premoštenoj imovini, lekcija je neugodno jasna: sigurnost premoštenog tokena jaka je onoliko koliko je jaka i sam ugovor o premošćivanju, bez obzira na to koliko je temeljna mreža testirana u bitkama. Beskompromisnost Polkadotovog relejnog lanca hladna je utjeha ako vaša riznica drži premošteni DOT na Ethereumu. Riznice, pružatelji likvidnosti i integrirajući protokoli morat će ponovno procijeniti koliku težinu pridaju razlici između izvornog i premoštenog predstavljanja iste imovine.
Pogledajte može li Hyperbridge objaviti vjerodostojan post-mortem i nastaviti s radom bez značajnog egzodusa korisnika. Sektor mostova je neumoljiv prema drugim prilikama, a projekti koji prežive incidente poput ovog uglavnom su oni koji se brzo odvijaju uz punu transparentnost, umjesto da dopuste da se informacijski vakuum ispuni špekulacijama.
 &emoji=&slug=kriptovijesti&button_colour=b532ed&font_colour=ffffff&font_family=Comic&outline_colour=ffffff&coffee_colour=FFDD00)
