Ein schwerwiegender Exploit bei Hyperbridge
Ein Exploit, der zur Prägung von 1 Milliarde Wrapped Polkadot (DOT) Token Anfang dieser Woche führte, ist laut dem Team hinter Hyperbridge sogar schlimmer als ursprünglich berichtet. Was zunächst als Verlust von 237.000 USD an Token im Zusammenhang mit der Polkadot-Ethereum-Brücke angesehen wurde, liegt tatsächlich näher bei 2,5 Millionen USD – eine mehr als zehnfache Erhöhung im Vergleich zum ursprünglichen Bericht.
„Ein Angreifer nutzte eine Schwachstelle in der Verifizierungslogik des Merkle Mountain Range (MMR) Proofs aus, die es dem Täter ermöglichte, Vermögenswerte zu prägen und hinterlegte Vermögenswerte auf dem Token Gateway abzuziehen“, schrieb das Team in einem Postmortem am Donnerstag.
„Unsere ursprüngliche öffentliche Schätzung des realisierten Verlusts betrug etwa 237.000 USD, basierend auf dem sofort beobachtbaren Verkaufsdruck von bridged DOT auf Ethereum“, fügten sie hinzu. „Diese Zahl erfasste jedoch nicht das vollständige Bild, wie wir später erfuhren.“
Zusätzliche Verluste und betroffene Blockchains
Neben den 237.000 USD an beobachtbaren Verlusten wurde ein Smart Contract für 245 ETH oder etwa 561.000 USD Stunden vor den böswilligen DOT-Token-Prägungen ausgenutzt. Außerdem waren drei verbundene Blockchains – Base, Arbitrum und BNB Chain – ebenfalls betroffen, was dem ursprünglichen Bericht des Teams widerspricht, der nur Wrapped DOT auf Ethereum als betroffen angab.
„Nach der Analyse der Aktivitäten des Angreifers über alle vier Chains, der zweiphasigen Natur des Angriffs und den Verlusten aus den damit verbundenen Anreizpools beträgt der revidierte Gesamtverlust etwa 2,5 Millionen USD, denominiert in ETH und DOT zum Zeitpunkt des Exploits“, erklärte das Team.
Versuche zur Rückgewinnung gestohlener Gelder
Die gestohlenen Gelder wurden einer Einzahlungsadresse auf Binance zugeordnet, und das Unternehmen hat das Compliance-Team der zentralisierten Börse sowie die zuständigen Strafverfolgungsbehörden eingeschaltet, um zu versuchen, die gestohlenen Vermögenswerte einzufrieren und zurückzuerlangen. Allerdings wird keine schnelle Lösung erwartet.
„Wir verfolgen jeden verfügbaren Kanal, aber der realistische Zeitrahmen für eine bedeutende Rückgewinnung in einem Fall dieser Art wird in Monaten gemessen und kann bis zu einem Jahr dauern“, fügte das Team hinzu.
Entschädigung der betroffenen Nutzer
Während das Ziel darin besteht, alle betroffenen Nutzer zu entschädigen und die kompromittierten Gelder zurückzuzahlen, deutete das Protokoll an, dass es „sich verpflichtet, eine strukturierte BRIDGE-Token-Allokation zur Deckung des verbleibenden Verlusts vorzunehmen“, falls es dazu nicht in der Lage sein sollte.
Allerdings hat der BRIDGE-Token, der native Protokoll-Token, extrem niedrige Handelsvolumina, zuletzt 1.800 USD innerhalb von 24 Stunden gehandelt, als er am 29. März für etwa 0,006 USD den Besitzer wechselte, laut Daten von CoinGecko. Zu diesem Preis hatte der Token eine Marktkapitalisierung von etwa 858.000 USD, was etwa einem Drittel der Gesamtschäden aus seinem Exploit entspricht.
Auswirkungen auf die Bridging-Funktionalität
Die Bridging-Funktionalität auf den vier betroffenen Blockchains bleibt pausiert und wird erst nach der Bereitstellung und Prüfung eines Patches wieder aufgenommen.
„Das ändert nichts an unserer Überzeugung, dass die Interoperabilität zwischen Chains nur durch kryptografische Beweise sicher ist“, schrieb das Protokollteam. „Was dieser Exploit deutlich gemacht hat, ist, dass die Verifizierungslogik häufigere Prüfungen und adversarielle Tests auf jeder Ebene des Stacks benötigt“, fügte es hinzu. „Das ist der Standard, unter dem das Token Gateway in Zukunft arbeiten wird.“
