Certik, Hyperbridge ağ geçidinde önemli bir güvenlik açığı tespit etti; bu açık, saldırganın Ethereum ağında 1 milyar adet yetkisiz DOT tokeni basmasına olanak sağladı.
Ethereum'da 1 Milyar Token Basımı İhlalinin Ardından Polkadot Fiyatı %6 Düştü
YAZAN
PAYLAŞ
Önemli Noktalar:
- Bir hacker, bir tekrar hatasını kullanarak Hyperbridge ağ geçidi üzerinden 1 milyar sahte Polkadot tokeni basmıştır.
- DOT'un fiyatı toparlanmadan önce %6 düşüşle 1,16 dolara gerilerken, hacker 237.000 dolarlık ether elde etti.
- Hyperbridge geliştiricilerinin, idari akıllı sözleşme işlevlerini güvence altına almak için yamalar yayınlaması bekleniyor.
Likidite Darboğazı Kayıpları Sınırladı
13 Nisan'da, blok zinciri güvenlik firması Certik, kripto para topluluğunu Hyperbridge ağ geçidiyle ilgili bir istismara karşı uyardı; bu olayda kötü niyetli bir aktör, Ethereum ağında 1 milyar adet yetkisiz Polkadot tokeni basmıştı. Olayın ardından DOT'un fiyatı kısa süreliğine 1,23 dolardan 1,16 dolara düşerek yaklaşık %6 değer kaybetti. Ancak bu yazının yazıldığı sırada token, bu kayıpların bir kısmını telafi ederek 1,19 dolara yükseldi.
Onchain verileri ve güvenlik raporlarına göre, saldırgan Hyperbridge ağ geçidi akıllı sözleşmesindeki bir güvenlik açığını istismar etti. Ethereum üzerindeki köprülenmiş DOT sözleşmesi üzerinde yönetici ayrıcalıkları elde etmek için uydurma bir mesaj kullanan saldırgan, 1 milyar token üreten tek bir işlemi tetikledi.
Oluşturulan token sayısının çok fazla olmasına rağmen, Ethereum üzerindeki köprülenmiş DOT sürümünün likiditesi düşük olduğu için saldırgan, tokenleri piyasa değerinden nakde çeviremedi.
Lookonchain'in analizi, hacker'ın 1 milyar token'lık ganimeti tek bir takas işlemiyle tasfiye ettiğini doğruluyor. İşlem, işlem anında yaklaşık 237.000 dolar değerinde olan yaklaşık 108,2 ether getirisi sağladı. Köprülenmiş varlık daha yaygın bir şekilde işlem görseydi, finansal etki çok daha yüksek olabilirdi.
Güvenlik uzmanları, ihlalin Ethereum üzerindeki Hyperbridge ağ geçidiyle sınırlı olduğunu hemen açıkladı. Polkadot’un ana aktarım zinciri ve Polkadot ağında bulunan gerçek DOT tokenleri güvenli kalmaya devam ediyor ve olaydan etkilenmedi.
Certik, ilk analizinde, bu istismarın Merkle Mountain Range’in calculateroot işlevindeki bir tekrar oynatma güvenlik açığından kaynaklandığını belirtti. Bu kusur, kanıtların isteklerle düzgün bir şekilde bağlanmaması anlamına geliyordu ve saldırganların eski durum taahhütlerini yeniden kullanmasına olanak tanıyordu. Aşağı akışta, tokengateway.handlechangeadmin işlevi sıkı kontroller uygulayamadı ve saldırganların istek verilerini keyfi olarak girmelerine izin verdi.
Sonuç olarak, kötü amaçlı kod sistemde kontrolsüz bir şekilde yayıldı ve nihayetinde saldırganın Polkadot tokeninin yöneticisini değiştirmesine olanak sağladı. Certik'in belirttiği gibi:
“Saldırganın gönderdiği 'kanıt' değeri, önceki bir işlemdeki '_stateCommitments' öğesinden kopyalanmıştır… bu da tekrarın mümkün olmasını sağlamıştır."
Hyperbridge, ağ geçidi akıllı sözleşmesindeki bu özel kusurla ilgili henüz tam bir analiz raporu yayınlamadı, ancak geliştiricilerin gelecekte benzer istismarları önlemek için yamalar uygulayacağı bekleniyor.
