1 milliard de DOT a été créé à partir de rien, mais le hacker n'a gagné que 230 000 dollars

Auteur : Zhou, ChainCatcher

Le 13 avril à 10 heures, heure de Pékin, la plateforme de surveillance on-chain a émis des alertes : il y avait une émission anormale d'actifs bridgés sur le réseau Ethereum depuis Polkadot.
Selon une analyse de CertiK, l'attaquant a soumis une demande inter-chaînes soigneusement élaborée au contrat HandlerV1 sur le côté Ethereum via le protocole ISMP de Hyperbridge, accompagnée d'une preuve MMR réelle historiquement acceptée, contournant avec succès le mécanisme de vérification.

BlockSec Phalcon a ensuite publié une alerte technique, classant cette vulnérabilité comme une vulnérabilité de répétition de preuve MMR. Selon leur analyse, la racine de la vulnérabilité réside dans le fait que la protection contre la répétition du contrat HandlerV1 ne vérifie que si le hachage d'une certaine demande a été utilisé auparavant, mais le processus de vérification de la preuve ne lie pas la charge utile de la demande soumise à la preuve vérifiée.

Cette lacune logique a permis à l'attaquant de répéter une preuve historiquement valide et de l'associer à une demande malveillante nouvellement construite, exécutant ainsi l'opération ChangeAssetAdmin via le chemin TokenGateway.onAccept(), transférant les droits d'administration et de création du contrat DOT enveloppé sur Ethereum (adresse : 0x8d...8F90b8) à une adresse contrôlée par l'attaquant.

Selon les données on-chain, après avoir obtenu les droits de création, l'attaquant a créé 1 milliard de DOT bridgés, ce qui représentait environ 2805 fois l'offre en circulation rapportée d'environ 356 000 de ce jeton sur Ethereum à l'époque.

Par la suite, l'attaquant a échangé tous les jetons contre environ 108,2 ETH via le routeur Odos et le pool de liquidité Uniswap V4, les transférant vers le compte externe de l'attaquant, réalisant un bénéfice d'environ 237 000 dollars en fonction du prix à ce moment-là, l'ensemble de l'attaque n'ayant coûté qu'environ 0,74 dollar en frais de gaz.

BlockSec Phalcon a également mentionné qu'il y avait eu une attaque précédente utilisant la même méthode, ciblant les jetons MANTA et CERE, entraînant une perte d'environ 12 000 dollars. La perte totale des deux attaques s'élevait à environ 242 000 dollars.

Après l'incident, les principales bourses sud-coréennes Upbit et Bithumb ont annoncé la suspension des services de dépôt et de retrait pour les DOT et le réseau AssetHub Polkadot afin de prévenir les risques potentiels de faux dépôts.

Les responsables de Polkadot ont déclaré que cette vulnérabilité n'affecte que les DOT bridgés à Ethereum via Hyperbridge et n'impacte pas les actifs DOT au sein de l'écosystème Polkadot ou les DOT transférés par d'autres ponts inter-chaînes. Polkadot et ses parachains, ainsi que les DOT natifs, restent sécurisés et non affectés. Actuellement, Hyperbridge a été suspendu pour enquêter sur le problème.

Il convient de mentionner que bien que l'échelle de création ait atteint 1 milliard, la perte réelle était bien inférieure à la valeur théorique. En raison de la liquidité on-chain extrêmement limitée des DOT enveloppés sur Ethereum, la vente concentrée de 1 milliard de jetons a instantanément fait chuter le prix des DOT enveloppés de 1,22 dollar à 0,00012831 dollar, une baisse de 99,98 %, rendant la plupart des jetons inefficaces pour la liquidation.

Selon les données de CoinMarketCap, le prix du jeton natif DOT a également brièvement chuté de près de 5 % en raison du sentiment du marché.

Les utilisateurs sur X ont déclaré candidement que qui aurait pensé que le mythe inter-chaînes DOT, qui se tenait autrefois aux côtés d'Ethereum, exploserait sur les réseaux sociaux de cette manière. Les ponts inter-chaînes sont redevenus le "talon d'Achille" du monde de la crypto, se transformant d'un domaine auparavant négligé en une scène de dévastation. Lorsque 1 milliard de DOT est apparu de nulle part, tous les indicateurs techniques sont devenus sans valeur.

Certains utilisateurs ont plaisanté en disant que la faible liquidité a sauvé Polkadot cette fois, maintenant la perte réelle autour de 237 000 $.

Cependant, la faible liquidité des actifs transférés, tout en limitant les profits du hacker, a exposé les vulnérabilités potentielles de la couche d'interopérabilité inter-chaînes.

Il est rapporté que Hyperbridge, développé par Polytope Labs, est un projet d'interopérabilité inter-chaînes au sein de l'écosystème Polkadot, qui s'est longtemps appuyé sur des preuves cryptographiques au lieu de comités de signatures multiples comme mécanisme de sécurité principal, se positionnant comme une infrastructure inter-chaînes minimisée en matière de confiance. Le projet avait précédemment souligné sa résistance aux attaques de ponts courantes.

Mais cet incident peut indiquer que l'intégrité du mécanisme de preuve cryptographique à elle seule n'est pas suffisante pour garantir la sécurité ; la logique d'implémentation spécifique du contrat Gateway du côté d'Ethereum constitue également une surface d'attaque.

D'un point de vue plus large, cet incident reflète la situation de sécurité sévère en cours dans la DeFi depuis 2026. Plusieurs attaques significatives ont eu lieu cette année, y compris Venus générant 2,15 millions de dollars de mauvaises créances en raison de manipulation des prix, Resolve sur-mintant 80 millions de USR, et Drift étant piraté pour plus de 285 millions de dollars d'actifs, avec diverses méthodes d'attaque et un large éventail de zones touchées.

Prendre le contrôle des droits de minting pour une émission illimitée n'est pas un nouveau modèle d'attaque. Cependant, en raison de la liquidité extrêmement faible de Hyperbridge, les pertes ont été étonnamment minimisées.

Selon les données de CertiK, il y a eu 46 incidents de sécurité enregistrés rien qu'en mars, avec des pertes totales d'environ 39,8 millions de dollars, marquant le plus haut record mensuel depuis novembre 2024. CertiK a également souligné que la fréquence d'exploitation des vulnérabilités du code a augmenté, possiblement liée à la montée des outils de découverte de vulnérabilités assistés par l'IA.

L'augmentation de la fréquence des attaques pousse également l'industrie à réexaminer les limites de la sécurité et de la réglementation. Le directeur de la stratégie de Circle, Dante Disparte, a précédemment appelé les protocoles, les portefeuilles, les échanges et les émetteurs de stablecoins à considérer la sécurité et la responsabilité comme une obligation partagée en réponse à l'incident de vol du protocole Drift, suggérant que les protocoles DeFi pourraient développer des mesures de protection technique en chaîne en référence aux mécanismes de coupe-circuit du marché traditionnel et promouvoir une législation pertinente pour intégrer les droits de propriété et les normes de protection de la vie privée financière dans la loi avant que le prochain incident majeur ne se produise.