Un grave exploit nel sistema Polkadot
Un exploit che ha portato alla creazione di 1 miliardo di token wrapped Polkadot (DOT) all’inizio di questa settimana si è rivelato essere molto più grave di quanto inizialmente riportato, secondo il team dietro Hyperbridge. Ciò che si pensava ammontasse a perdite di token per un valore di 237.000 dollari legate al ponte Polkadot-Ethereum è in realtà più vicino a 2,5 milioni di dollari, un aumento di oltre dieci volte rispetto al rapporto iniziale.
“Un attaccante ha sfruttato una vulnerabilità nella logica di verifica della prova Merkle Mountain Range (MMR), consentendo al colpevole di coniare asset e drenare fondi in escrow su Token Gateway,” ha pubblicato il team in un postmortem di giovedì.
“La nostra stima pubblica iniziale della perdita realizzata era di circa 237.000 dollari, basata sulla vendita immediatamente osservabile di DOT bridged su Ethereum,” hanno aggiunto. “Quella cifra non catturava l’intero quadro, abbiamo appreso successivamente.” Oltre ai 237.000 dollari di perdite osservabili, un contratto intelligente è stato sfruttato per 245 ETH, ovvero circa 561.000 dollari, ore prima delle coniazioni maligne di token DOT.
Impatto su più blockchain
Inoltre, tre blockchain collegate—Base, Arbitrum e BNB Chain—sono state anch’esse colpite, contraddicendo il rapporto originale del team secondo cui solo il DOT wrapped su Ethereum era stato interessato.
“A seguito della riconciliazione dell’attività dell’attaccante su ciascuna delle quattro catene, della natura in due fasi dell’attacco e delle perdite dai pool di incentivi associati, la perdita totale realizzata rivista è di circa 2,5 milioni di dollari, denominata in ETH e DOT al momento dell’exploit,” ha scritto.
Recupero dei fondi rubati
I fondi rubati sono stati tracciati a un indirizzo di deposito su Binance, e l’azienda ha coinvolto il team di conformità dell’exchange centralizzato e le forze dell’ordine competenti nel tentativo di congelare e recuperare gli asset rubati, ma non si aspetta una risoluzione a breve.
“Stiamo perseguendo ogni canale disponibile, ma la tempistica realistica per un recupero significativo in un caso di questo tipo è misurata in mesi e può estendersi fino a un anno,” ha aggiunto.
Sebbene il suo obiettivo sia quello di rimborsare tutti gli utenti colpiti, restituendo i fondi compromessi, il protocollo ha indicato che è “impegnato in un’allocazione strutturata del token BRIDGE per coprire la perdita residua,” nel caso non riesca a farlo.
Situazione attuale del token BRIDGE
Tuttavia, BRIDGE, il token nativo del protocollo, mantiene volumi estremamente bassi, scambiando per l’ultima volta 1.800 dollari in 24 ore quando è cambiato di mano per circa 0,006 dollari il 29 marzo, secondo i dati di CoinGecko. A quel prezzo, il token aveva una capitalizzazione di mercato di circa 858.000 dollari, circa un terzo delle perdite totali derivanti dal suo exploit.
La funzionalità di bridging sulle quattro blockchain colpite rimane sospesa e riprenderà solo dopo che una patch sarà stata distribuita e auditata.
“Questo non cambia la nostra convinzione che l’interoperabilità cross-chain sia sicura solo attraverso prove crittografiche,” ha scritto il team del protocollo.
“Ciò che questo exploit ha reso chiaro, a caro prezzo, è che la logica di verifica necessita di audit più frequenti e test avversariali a ogni livello dello stack,” ha aggiunto. “Questo è lo standard sotto cui opererà Token Gateway in futuro.”
