Уязвимость Hyperbridge: более 1 миллиарда фальшивых токенов DOT были созданы на Ethereum

Недавний инцидент с Hyperbridge, децентрализованным мостом, соединяющим экосистему Polkadot с сетью Ethereum, стал серьезным событием в мире криптовалют. Хакеры смогли создать 1 миллиард несанкционированных токенов DOT, что вызвало значительное беспокойство среди участников рынка. Несмотря на то что потенциальная прибыль злоумышленника могла составить миллионы долларов, фактическая сумма, которую ему удалось вывести, составила лишь около 240 000 долларов из-за недостатка ликвидности для обналичивания поддельных активов. Этот инцидент оказал негативное влияние на экосистему Polkadot, что привело к падению цены токена DOT до исторического минимума на фоне общего беспокойства по поводу безопасности кросс-цепей.

Анализ уязвимости Hyperbridge

Эксперты в области безопасности объяснили, что уязвимость заключалась в том, как контракты Hyperbridge проверяли входящие кросс-цепные сообщения перед передачей их в шлюз токенов. Блокчейн-безопасная компания BlockSec Phalcon выявила корень проблемы как «уязвимость повторного воспроизведения доказательства Merkle Mountain Range (MMR)». Это своего рода криптографическая слепая зона, которая позволила злоумышленнику повторно использовать старые, действительные доказательства безопасности и прикреплять их к злонамеренным, вновь созданным запросам.

В центре инцидента находилась недостающая проверка входных данных в функции `VerifyProof()`. В стандартных кросс-цепных операциях мост должен проверять, что запрос, исходящий из одной блокчейна, является подлинным, прежде чем выполнять соответствующее действие, например, создавать токены на другом блокчейне. В данном случае контракт Hyperbridge не смог правильно связать отправленный полезный груз запроса с проверенным доказательством. Система просто проверила, что хэш запроса не использовался ранее, не проверяя, соответствует ли доказательство сообщению, которое оно должно было аутентифицировать.

Злоумышленник, манипулируя индексными параметрами, полностью обошел вычисления корня системы. Этот разрыв позволил хакеру подделать действительное кросс-цепное сообщение, повысить свои привилегии до административного уровня и приказать контракту создать 1 миллиард токенов DOT на Ethereum. При этом основное создание токенов предшествовало более тихой атаке. Аналитик on-chain Specter отметил, что примерно за час до массового создания DOT злоумышленник использовал связанный контракт TokenGateway, чтобы похитить 245 ETH, что эквивалентно примерно 537 000 долларов.

Как недостаточная ликвидность уменьшила ущерб

Хотя создание 1 миллиарда токенов обычно сигнализирует о катастрофическом событии, злоумышленник столкнулся с препятствием из-за самой механики децентрализованных финансов: глубины рынка. Когда хакер крадет активы, он обычно обменивает их на более ликвидный и стабильный актив, такой как Ethereum или стейблкоин, в пуле ликвидности автоматизированного маркет-мейкера (AMM). Пул ликвидности оценивает активы на основе соотношения токенов, находящихся в нем.

В данном случае пул DOT на Ethereum был относительно мелким. Когда злоумышленник попытался сбросить 1 миллиард поддельных токенов в пул, чтобы извлечь ETH, огромное количество ордера на продажу немедленно перегрузило доступную ликвидность. В результате алгоритм, перераспределяющий соотношение, резко снизил цену на DOT с 1,22 доллара до крошечных долей цента в течение миллисекунд. Поскольку рынок не смог поглотить огромный ордер по стабильным ценам, прибыль злоумышленника была серьезно ограничена.

Блокчейн-аналитическая компания Arkham Intelligence сообщила, что хакер смог извлечь лишь около 240 000 долларов в ETH из пула ликвидности DOT. Между тем, если бы уязвимость была использована в более глубоком пуле или с более ценным активом, финансовые потери были бы экспоненциально больше.

От шутки до реальности

Этот инцидент с уязвимостью стал ироничным для команды разработчиков Hyperbridge, так как он произошел менее чем через две недели после того, как проект опубликовал шутку на День дурака о том, что они столкнулись с катастрофической уязвимостью. 1 апреля официальные каналы Hyperbridge разместили фальшивый отчет о происшествии, утверждая о взломе на сумму 37 миллионов долларов через свои развертывания на Ethereum, Arbitrum и Base. В шутливом посте обвинялись вымышленные хакеры из Северной Кореи, агенты искусственного интеллекта и даже квантовые вычисления. Пост даже шутил, что внешние аудиторы пытались предупредить команду, но разработчики были оффлайн, наслаждаясь шоколадками KitKat в честь рождения ребенка одного из инженеров.

На тот момент проект отмахнулся от критики сообщества по поводу шутки, публично хвастаясь тем, что их основное сообщество знало, что протокол «неподвержен взломам». Однако это высокомерие исчезло, так как разработчики протокола были вынуждены остановить платформу в реальном времени. Parity Technologies, основная компания-разработчик экосистемы Polkadot, быстро вмешалась, чтобы справиться с последствиями. Компания уточнила, что уязвимость была строго изолирована в контракте шлюза Ethereum Hyperbridge. Она добавила, что основная сеть Polkadot, ее связанные парачейны и родные токены DOT остались полностью безопасными и не затронутыми инцидентом.

Опасения по поводу распространения ведут к историческим минимумам Polkadot

Несмотря на то что основная блокчейн-сеть Polkadot никогда не была скомпрометирована, психологическое воздействие на ее наиболее доминирующий мост оказало серьезное влияние на ее родную валюту. После новостей о взломе данные CryptoSlate показали, что родной токен DOT упал на 5% в начале торговых часов в Азии в понедельник, опустившись до 1,14 доллара. Это падение приближает актив к его историческому минимуму в 1,13 доллара. Токен находится в жестком нисходящем тренде, потеряв около 70% своей стоимости за последний год на фоне общего падения рынка криптовалют и снижения интереса розничных инвесторов к устаревшим альтернативным сетям первого уровня.

Для экосистемы Polkadot взлом Hyperbridge является худшим сценарием с точки зрения рыночной оптики. Даже когда разработчики подчеркивают техническое различие между уязвимым контрактом Ethereum третьей стороны и безопасной основной сетью Polkadot, розничные инвесторы часто воспринимают бренд как монолит. Пока кросс-цепная инфраструктура не достигнет того же уровня безопасности, что и основные блокчейны, к которым она подключается, такие события ликвидности будут продолжать подрывать уверенность на более широком рынке.

Мосты остаются самой уязвимой частью Web3

Инцидент с Hyperbridge подчеркивает постоянную и системную уязвимость в децентрализованных финансах: кросс-цепные мосты по своей природе хрупки. В экосистеме Web3 мосты являются важной инфраструктурой. Они позволяют разным, изолированным блокчейнам взаимодействовать, предлагая пользователям большую гибкость, более низкие комиссии и доступ к более широкому спектру децентрализованных приложений. Однако для функционирования эти мосты должны удерживать огромные резервы заблокированных активов с одной стороны, чтобы выпустить соответствующие «обернутые» активы с другой.

Поскольку эти протоколы по сути представляют собой огромные мишени, управляемые сложными смарт-контрактами, они являются самой привлекательной целью для киберпреступников. Если хакер сможет скомпрометировать частные ключи валидаторов моста или, как в случае с Hyperbridge, использовать уязвимость в коде смарт-контракта, он может захватить административный контроль и вывести основные активы или создать бесконечное количество токенов. Примечательно, что история криптовалюты полна разрушительных взломов мостов. В марте 2022 года мост Ronin Network, построенный для игровой экосистемы Axie Infinity, был ограблен на более чем 600 миллионов долларов в одном из крупнейших ограблений в истории криптовалют. Позже в том же году кросс-цепной мост BNB Chain пострадал от уязвимости кода, что привело к несанкционированному созданию 2 миллионов токенов BNB на сумму около 566 миллионов долларов. Другие катастрофические нарушения включают взлом Wormhole на 321 миллион долларов и взлом моста Nomad на 190 миллионов долларов.

Заключение

Инцидент с Hyperbridge стал серьезным напоминанием о рисках, связанных с кросс-цепными мостами и децентрализованными финансами в целом. Несмотря на то что разработчики Polkadot и Hyperbridge работают над устранением последствий и улучшением безопасности, участникам рынка следует быть осторожными и осведомленными о потенциальных угрозах. Этот случай подчеркивает необходимость повышения уровня безопасности в кросс-цепной инфраструктуре, чтобы восстановить доверие пользователей и инвесторов к экосистеме криптовалют.