波卡（Polkadot）价格下跌6%，此前以太坊平台发生10亿枚代币铸造漏洞

• 一名黑客利用重放漏洞，通过 Hyperbridge 网关铸造了 10 亿枚虚假的 Polkadot 代币。
• DOT 价格一度下跌 6% 至 1.16 美元，随后回升，而黑客从中获利 23.7 万美元的以太币。
• Hyperbridge 开发团队预计将部署补丁，以加强管理型智能合约的功能安全性。

流动性瓶颈限制了损失

4月13日，区块链安全公司Certik向加密货币社区发出警报，指出Hyperbridge网关存在安全漏洞，一名恶意攻击者在以太坊网络上铸造了10亿枚未经授权的波卡（Polkadot）代币。 事件发生后，DOT价格短暂从1.23美元暴跌至1.16美元，跌幅近6%。但截至发稿时，该代币已收复部分失地，回升至1.19美元。

根据链上数据和安全报告显示，攻击者利用了Hyperbridge网关智能合约中的漏洞。通过发送伪造消息获取以太坊上桥接DOT合约的管理权限，该攻击者触发了一笔生成10亿枚代币的交易。 尽管生成的代币数量庞大，但由于以太坊上桥接版DOT的流动性较浅，攻击者未能按市场价值套现。

Lookonchain的分析证实，黑客通过单笔兑换清算了全部10亿枚代币。该交易换得约108.2枚以太币，按交易时点计算价值约23.7万美元。若该桥接资产的交易更为活跃，财务损失本可能高出许多。

安全专家迅速澄清，此次漏洞仅限于以太坊上的Hyperbridge网关。波卡的核心中继链以及驻留在波卡网络上的真实DOT代币仍然安全，未受此次事件影响。 在初步事后分析中，Certik表示该漏洞源于Merkle Mountain Range的calculatoroot函数中的重放漏洞。 该漏洞导致证明未能与请求正确绑定，使攻击者能够复用旧的状态承诺。在下游，tokengateway.handlechangeadmin 函数未能执行严格检查，允许攻击者任意输入请求数据。 结果，恶意代码在系统中不受限制地传播，最终使攻击者得以更改波卡代币的管理员。正如 Certik 所指出的：

“攻击者提交的‘proof’值是从上一笔交易中的‘_stateCommitments’中复制的……从而使得重放攻击成为可能。” Hyperbridge 尚未针对网关智能合约中的具体漏洞发布完整的事后分析报告，但预计开发人员将实施补丁，以防止未来发生类似的攻击。