Certik a signalé une faille majeure de la passerelle Hyperbridge, qui a permis à l'auteur de l'attaque de créer 1 milliard de jetons DOT non autorisés sur le réseau Ethereum. Points clés :
Le cours du Polkadot chute de 6 % après une fraude sur Ethereum ayant entraîné la création d'un milliard de jetons
ÉCRIT PAR
PARTAGER
- Un pirate informatique a exploité une faille de relecture pour créer 1 milliard de faux jetons Polkadot via la passerelle Hyperbridge.
- Le cours du DOT a chuté de 6 % pour atteindre 1,16 $ avant de remonter, tandis que le pirate a empoché 237 000 $ en ether.
- Les développeurs d'Hyperbridge devraient désormais déployer des correctifs pour sécuriser les fonctions administratives des contrats intelligents.
Le manque de liquidité limite les pertes
Le 13 avril, la société de sécurité blockchain Certik a alerté la communauté des cryptomonnaies d'une faille impliquant la passerelle Hyperbridge, où un acteur malveillant a créé 1 milliard de jetons Polkadot non autorisés sur le réseau Ethereum. À la suite de cet incident, le cours du DOT a brièvement chuté de 1,23 $ à 1,16 $, soit une baisse de près de 6 %. Cependant, au moment de la rédaction de cet article, le token avait effacé une partie de ces pertes, remontant à 1,19 $.
D'après les données on-chain et les rapports de sécurité, l'attaquant a exploité une vulnérabilité au sein du contrat intelligent de la passerelle Hyperbridge. En utilisant un message falsifié pour obtenir des privilèges administratifs sur le contrat DOT ponté sur Ethereum, l'auteur a déclenché une seule transaction qui a généré le milliard de jetons. Malgré le nombre important de jetons créés, l'attaquant n'a pas pu les convertir en liquidités à leur valeur de marché, car la version pontée du DOT sur Ethereum présentait une faible liquidité.
L'analyse de Lookonchain confirme que le pirate a liquidé l'intégralité de son butin d'un milliard de jetons en un seul swap. La transaction a rapporté environ 108,2 ethers, d'une valeur d'environ 237 000 dollars au moment de la transaction. Si l'actif ponté avait été plus largement négocié, l'impact financier aurait pu être considérablement plus important.
Les experts en sécurité se sont empressés de préciser que la faille était localisée au niveau de la passerelle Hyperbridge sur Ethereum. La chaîne de relais principale de Polkadot et les véritables jetons DOT résidant sur le réseau Polkadot restent sécurisés et n’ont pas été affectés par l’incident. Dans son premier rapport d’analyse rétrospective, Certik a indiqué que l’exploitation provenait d’une vulnérabilité de rejeu dans la fonction calculateroot de Merkle Mountain Range. Cette faille signifiait que les preuves n'étaient pas correctement liées aux requêtes, permettant ainsi aux attaquants de réutiliser d'anciens engagements d'état. En aval, la fonction tokengateway.handlechangeadmin n'a pas appliqué de contrôles stricts, laissant les attaquants saisir arbitrairement des données de requête. En conséquence, un code malveillant s'est propagé sans contrôle à travers le système, permettant finalement à l'attaquant de modifier l'administrateur du jeton Polkadot. Comme l'a noté Certik :
« La valeur de « preuve » soumise par l'attaquant est copiée à partir du « _stateCommitments » d'une transaction précédente… rendant ainsi la relecture possible. » Hyperbridge n'a pas encore publié d'analyse complète de cette faille spécifique dans le contrat intelligent de la passerelle, mais les développeurs devraient mettre en place des correctifs pour empêcher des exploits similaires à l'avenir.
