یک میلیارد DOT از هیچ خلق شد، اما هکر فقط ۲۳۰٬۰۰۰ دلار به دست آورد.
نویسنده: ژو، چینکچر
در ۱۳ آوریل، ساعت ۱۰ صبح به وقت پکن، پلتفرم نظارت بر زنجیرهای هشدارهایی صادر کرد: صدور غیرعادی داراییهای پلزده از پولکادات به شبکه اتریوم رخ داده بود.
بر اساس تحلیل CertiK، مهاجم یک درخواست میانزنجیرهای با طراحی دقیق را از طریق پروتکل ISMP هاپربریج به قرارداد HandlerV1 در شبکه اتریوم ارسال کرد، همراه با یک اثبات MMR واقعی که قبلاً پذیرفته شده بود، و با موفقیت مکانیزم تأیید را دور زد.
BlockSec Phalcon سپس یک هشدار فنی منتشر کرد و این آسیبپذیری را بهعنوان یک آسیبپذیری تکرار اثبات MMR طبقهبندی نمود. بر اساس تحلیل آنها، ریشه آسیبپذیری در این است که مکانیزم محافظت در برابر پخش مجدد قرارداد HandlerV1 تنها بررسی میکند که آیا هَش یک درخواست خاص قبلاً استفاده شده است یا خیر، اما فرایند اعتبارسنجی مدرک، بار مفید درخواست ارسالشده را به مدرک تأییدشده متصل نمیکند.
این شکاف منطقی به مهاجم اجازه داد تا اثبات معتبر تاریخی را مجدداً پخش کند و آن را با یک درخواست مخرب تازهساخته جفت نماید، و بدین ترتیب عملیات ChangeAssetAdmin را از طریق مسیر TokenGateway.onAccept() اجرا کند و حقوق مدیریت و ضرب قرارداد DOT پیچیدهشده روی اتریوم را منتقل نماید (آدرس: 0x8d...8F90b8) به آدرسی که توسط مهاجم کنترل میشود.
بر اساس دادههای آن-چین، پس از به دست آوردن حقوق مینت، مهاجم ۱ میلیارد DOT پلزده را مینت کرد که تقریباً ۲۸۰۵ برابر عرضه در گردش گزارششدهی حدود ۳۵۶,۰۰۰ از آن توکن در اتریوم در آن زمان بود.
در ادامه، مهاجم تمام چیپها را از طریق روتر اودوس و استخر نقدینگی یونیسواپ V4 به حدود ۱۰۸.۲ اتر تبدیل کرد و آن را به حساب خارجی خود منتقل نمود و بر اساس قیمت آن زمان، سودی در حدود ۲۳۷,۰۰۰ دلار به دست آورد، در حالی که کل حمله تنها حدود ۰.۷۴ دلار کارمزد گس مصرف کرد.
BlockSec Phalcon همچنین اشاره کرد که حمله قبلی با استفاده از همین روش، توکنهای MANTA و CERE را هدف قرار داده و منجر به زیانی حدود ۱۲٬۰۰۰ دلار شده بود. مجموع خسارت وارده از هر دو حمله تقریباً ۲۴۲٬۰۰۰ دلار بود.
پس از این حادثه، صرافیهای پیشرو کره جنوبی، آپביט و بیتهمب، به منظور جلوگیری از خطرات احتمالی سپردهگذاری جعلی، تعلیق خدمات سپردهگذاری و برداشت برای شبکه Polkadot در پلتفرمهای AssetHub و DOT را اعلام کردند.
مقامات پولکادات اعلام کردند که این آسیبپذیری تنها DOTهایی را که از طریق هایپربریدج به اتریوم پل زده شدهاند تحت تأثیر قرار میدهد و بر داراییهای DOT در اکوسیستم پولکادات یا DOTهایی که از طریق سایر پلهای بینزنجیرهای منتقل شدهاند، تأثیری ندارد. پولکادات و پاراچینهای آن، و همچنین توکن بومی DOT، امن و دستنخورده باقی ماندهاند. در حال حاضر، هایپربریدج به منظور بررسی این موضوع تعلیق شده است.
شایان ذکر است که اگرچه مقیاس ضرب به یک میلیارد رسید، زیان واقعی بسیار کمتر از رقم نظری بود. به دلیل نقدینگی بسیار محدود آن-چین DOT پیچیده شده در اتریوم، فروش متمرکز ۱ میلیارد توکن، قیمت DOT پیچیده شده را بلافاصله از ۱.۲۲ دلار به ۰.۰۰۰۱۲۸۳۱ دلار سقوط داد، افتی ۹۹.۹۸ درصدی که بیشتر توکنها را برای تسویه ناکارآمد کرد.
بر اساس دادههای CoinMarketCap، قیمت توکن بومی DOT نیز به دلیل احساسات بازار، برای مدت کوتاهی تقریباً ۵ درصد کاهش یافت.
کاربران در ایکس صادقانه اظهار کردند که چه کسی فکرش را میکرد که میمکوین بینزنجیرهای DOT، که زمانی در کنار اتریوم قرار داشت، به این شکل در شبکههای اجتماعی منفجر شود. پلهای میانزنجیرهای بار دیگر به «پاشنه آشیل» دنیای رمزارزها تبدیل شدهاند و از یک حوزه پیشتر نادیده گرفته شده به صحنهای ویرانگر بدل گشتهاند. وقتی یک میلیارد DOT از ناکجاآباد ظاهر شد، همه شاخصهای فنی بیارزش شدند.
برخی از کاربران به شوخی اظهار کردند که نقدینگی پایین این بار پولکادات را نجات داد و زیان واقعی را در حدود ۲۳۷٬۰۰۰ دلار نگه داشت.
با این حال، نقدینگی پایین داراییهای پلزده، در حالی که سود هکر را محدود میکرد، آسیبپذیریهای بالقوه لایه تعاملپذیری میانزنجیرهای را آشکار ساخت.
گزارش شده است که هایپربریدج (Hyperbridge)، توسعه یافته توسط لابراتوارهای پولیتوپ (Polytope Labs)، یک پروژه تعاملپذیری بینزنجیرهای در اکوسیستم پولکادات است که مدتها به جای کمیتههای امضای چندگانه، بر اثباتهای رمزنگاریشده به عنوان مکانیزم امنیتی اصلی خود تکیه کرده و خود را به عنوان یک زیرساخت بینزنجیرهای با حداقل اعتماد معرفی میکند. پروژه قبلاً بر مقاومت خود در برابر حملات رایج پل تأکید کرده بود.
اما این حادثه ممکن است نشان دهد که یکپارچگی مکانیزم اثبات رمزنگاری بهتنهایی برای تضمین امنیت کافی نیست؛ منطق پیادهسازی خاص قرارداد Gateway در سمت اتریوم نیز سطح حمله را تشکیل میدهد.
از دیدگاه وسیعتر، این حادثه بازتابدهنده وضعیت امنیتی وخیم و مداوم در دیفای از سال ۲۰۲۶ است. چندین حملهٔ مهم امسال رخ داده است، از جمله وینوس که بهدلیل دستکاری قیمت ۲٫۱۵ میلیون دلار بدهی بد ایجاد کرد، Resolve بیش از ۸۰ میلیون USR ضرب کرد و Drift برای بیش از ۲۸۵ میلیون دلار دارایی هک شد، با روشهای مختلف حمله و دامنهٔ وسیعی از مناطق آسیبدیده.
تصاحب حقوق ضرب برای صدور نامحدود یک مدل حمله جدید نیست. با این حال، به دلیل نقدینگی فوقالعاده اندک هایپربریدج، زیانها به طور غیرمنتظرهای به حداقل رسیدند.
بر اساس دادههای CertiK، تنها در ماه مارس ۴۶ حادثه امنیتی ثبت شد که با مجموع خسارات تقریبی ۳۹.۸ میلیون دلار، بالاترین رکورد ماهانه از نوامبر ۲۰۲۴ به شمار میرود. CertiK همچنین اشاره کرد که فراوانی بهرهبرداری از آسیبپذیریهای کد افزایش یافته است، که احتمالاً با رشد ابزارهای کشف آسیبپذیری با کمک هوش مصنوعی مرتبط است.
افزایش فرکانس حملات نیز صنعت را وادار میکند تا مرزهای امنیت و مقررات را بازنگری کند. دانت دیسپارته، مدیر ارشد استراتژی Circle، پیش از این در واکنش به سرقت پروتکل Drift، از پروتکلها، کیفپولها، صرافیها و صادرکنندگان استیبلکوین خواسته بود تا امنیت و پاسخگویی را یک تعهد مشترک بدانند. او پیشنهاد داد که پروتکلهای دیفای میتوانند اقدامات حفاظتی فنی آن-چین را با الهام از مکانیزمهای سنتی قطعکننده بازار (circuit breaker) توسعه دهند و از قوانین مرتبط حمایت کنند تا استانداردهای حفاظت از حقوق مالکیت و حریم خصوصی مالی پیش از وقوع حادثه بزرگ بعدی، در قانون گنجانده شوند.
سلب مسئولیت: این محتوا صرفاً برای اطلاعرسانی عمومی و برندینگ ارائه شده و به منزله مشاوره مالی، سرمایهگذاری، حقوقی یا مالیاتی تلقی نمیگردد. هیچیک از رویدادها، جوایز، رویدادهای آنلاین یا اطلاعات مرتبط ذکرشده در اینجا نباید بهعنوان توصیه، درخواست یا دعوت برای خرید، فروش، معامله یا هرگونه اقدام دیگر در رابطه با داراییهای رمزارزی یا استفاده از خدمات تلقی شوند. داراییهای رمزارزی با نوسانات بالایی همراه بوده و ممکن است منجر به زیان شوند. خدمات WEEX و رویدادهای آنلاین ممکن است در تمام مناطق در دسترس نبوده و مشمول قوانین، مقررات و شرایط احراز صلاحیت مربوطه هستند. شما مسئول رعایت قوانین محلی در استفاده از خدمات WEEX هستید و باید پیش از انجام هرگونه فعالیت مرتبط با ارزهای دیجیتال، ریسکهای آن را بهدقت بررسی کنید.
ممکن است شما نیز علاقهمند باشید

مصاحبه جدید SemiAnalysis: فضای دو برابر برای ذخیرهسازی وجود دارد، در کوتاهمدت و میانمدت با CPO احتیاط کنید، CPU تنها نقش مکمل دارد

FDV در مقابل ارزش بازار: دو عددی که تعیین میکند آیا یک توکن ارزان است

آیا اتریوم واقعاً یک «کامپیوتر جهانی» است؟

17 قضاوت سرمایهگذار درباره تجسم، مدلها و قدرت محاسباتی

تله آربیتراژ هوش مصنوعی Bittensor: سرمایه فقط توکنها را معامله میکند، هیچکس به AI باکیفیت توجهی نمیکند

آدرسهای کیف پول در لایت کوین در تنها ۶ ماه بیش از ۲۲ میلیون افزایش یافته است

شیبا اینو: پس از یک وقفه، پروژههای اترنیتی و متاورس آماده بازگشت هستند

دراورهای کیف پول چیستند؟ نگاهی به صنعت فیشینگ تأییدیه

عصر معاملات هوش مصنوعی آغاز شده است: LTP اولین مسابقه معاملات کمی واقعی با عامل هوش مصنوعی را راهاندازی میکند

آیا تغییر زنجیره و شروع دوباره واقعاً میتواند سرنوشت را تغییر دهد؟

رولوت ادغام صرافی رمزارز خود را با دستیاران هوش مصنوعی به عنوان تجارت عاملی گسترش میدهد

اتهام وزارت دادگستری به یک زندانی به دلیل سرقت ارز دیجیتال به ارزش ۲۹۰ هزار دلار

حجم معاملات در ژوئن دو برابر شد: اکوسیستم x402 به طور مداوم در حال گسترش است و روایت درآمدزایی محتوا به آزمایش کلیدی میرسد

آیا واش به دنبال کاهش نرخ بهره با «جبهه متحد» است؟

مقایسه وایتپیپر اتریوم و سولانا (۲۰۲۶)

فناوری فرانسه: افزایش هوش مصنوعی و کوانتوم، غیبت ارزهای دیجیتال

ربات انساننما NEO با "دستهای چابک": چگونه دستها به API ورود به دنیای فیزیکی تبدیل میشوند؟

SCEX چیست؟ بازار داراییهای رمزنگاری برای بازار ویتنام از Sacombank

بهروزرسانی بزرگ ChatGPT: قابلیت کار در چند پلتفرم، ساخت وبسایت با یک کلیک و کاهش هزینهها

BTC پس از عبور از 63,000 به چالش 64,000 میپردازد، بازار در حال معامله «ریسک قابل کنترل» است

با ترکیدن حباب، چه کسی در عصر هوش مصنوعی توجه را به خود جلب میکند؟ راهنمای 2026 برای KOLهای تأثیرگذار هوش مصنوعی در چین و بریتانیا

پولهای قدیمی رمزنگاری تغییر مسیر میدهند: Paradigm 1.2 میلیارد دلار جمعآوری کرد، نیمی از آن را به هوش مصنوعی و رباتیک اختصاص داد

Bitdeer کارخانه 36 میلیون دلاری در نوادا را برای تغییر در استخراج بیت کوین رونمایی کرد

پرپلکسی یک مدل هوش مصنوعی چینی را به گونهای تنظیم کرد که با هزینه یک سوم کلود اوپس ۴.۸ مطابقت دارد

بانک کره جنوبی از طرح استیبل کوین مبتنی بر بانک دفاع میکند در میان بن بست لایحه

جیپیمورگان میگوید ریسک اصلی بیتکوین استراتژی نیست، بلکه پذیرش بلاکچین است که به زنجیرههای عمومی و توکنها سود نمیرساند

نمایندگان کارگری فشار میآورند تا ممنوعیت کمکهای مالی رمزارزی در بریتانیا دائمی شود

حکم دیوان عالی کشور که اختیارات ترامپ را بر آژانسهای فدرال گسترش میدهد، سوالاتی را برای SEC و CFTC در حالی که قوانین مربوط به ارزهای دیجیتال پیشرفت میکند، ایجاد میکند

'پایین آوردن در حال انجام است': تحلیلگران میگویند تسلیم دارندگان بیتکوین نشانهای از بازار خرسی در مراحل پایانی است







