Купить крипто- Рынки
Фьючерсы- Спот
- Копитрейдинг
- Earn
- Еще
1 миллиард DOT был создан из ниоткуда, но хакер заработал только 230 000 долларов
Автор: Чжоу, ChainCatcher
13 апреля в 10:00 по пекинскому времени платформа мониторинга на блокчейне выпустила предупреждения: произошло аномальное эмитирование мостовых активов в сети Ethereum из Polkadot.
Согласно анализу CertiK, злоумышленник отправил тщательно подготовленный кросс-цепной запрос в контракт HandlerV1 на стороне Ethereum через протокол ISMP Hyperbridge, вместе с исторически принятым реальным доказательством MMR, успешно обойдя механизм проверки.
BlockSec Phalcon впоследствии выпустил техническое предупреждение, классифицировав эту уязвимость как уязвимость повторного воспроизведения доказательства MMR. Согласно их анализу, корень уязвимости заключается в том, что защита от повторного воспроизведения контракта HandlerV1 только проверяет, использовался ли хэш определенного запроса ранее, но процесс проверки доказательства не связывает отправленный полезный нагрузку запроса с проверенным доказательством.
Этот логический пробел позволил злоумышленнику воспроизвести исторически действительное доказательство и сопоставить его с вновь созданным злонамеренным запросом, тем самым выполняя операцию ChangeAssetAdmin через путь TokenGateway.onAccept(), передавая права администратора и эмитирования контракта обернутого DOT на Ethereum (адрес: 0x8d...8F90b8) на адрес, контролируемый злоумышленником.
Согласно данным на блокчейне, после получения прав на эмитирование злоумышленник эмитировал 1 миллиард мостовых DOT, что примерно в 2805 раз превышает сообщаемое обращение около 356 000 токенов на Ethereum в то время.
Впоследствии злоумышленник обменял все фишки на около 108,2 ETH через маршрутизатор Odos и ликвидный пул Uniswap V4, переведя их на внешний счет злоумышленника, реализовав прибыль около 237 000 долларов на основе цены в то время, при этом вся атака потребовала всего около 0,74 доллара на газовые сборы.
BlockSec Phalcon также упомянул, что ранее была атака с использованием того же метода, нацеленная на токены MANTA и CERE, в результате чего был потерян около 12 000 долларов. Общая потеря от обеих атак составила примерно 242 000 долларов.
После инцидента ведущие южнокорейские биржи Upbit и Bithumb объявили о приостановке услуг по депозитам и выводам для DOT и AssetHub сети Polkadot, чтобы предотвратить потенциальные риски подделки депозитов.
Официальные лица Polkadot заявили, что эта уязвимость затрагивает только DOT, переведенные в Ethereum через Hyperbridge, и не влияет на активы DOT в экосистеме Polkadot или DOT, переведенные через другие кросс-цепные мосты. Polkadot и его парачейны, а также родной DOT остаются в безопасности и не затронуты. В настоящее время Hyperbridge приостановлен для расследования проблемы.
Стоит отметить, что хотя масштаб эмитирования достиг 1 миллиарда, фактические потери были значительно ниже теоретической цифры. Из-за крайне ограниченной ликвидности на блокчейне обернутого DOT в Ethereum, сосредоточенная распродажа 1 миллиарда токенов мгновенно обрушила цену обернутого DOT с 1,22 доллара до 0,00012831 доллара, что составило падение на 99,98%, сделав большинство токенов неэффективными для ликвидации.
Согласно данным CoinMarketCap, цена родного токена DOT также на короткое время упала почти на 5% из-за рыночных настроений.
Пользователи на X откровенно заявили, кто бы мог подумать, что миф о кросс-цепочке DOT, который когда-то стоял рядом с Ethereum, так взорвется в социальных сетях. Кросс-цепочные мосты снова стали "ахиллесовой пятой" криптомира, превратившись из ранее игнорируемой области в сцену разрушений. Когда 1 миллиард DOT появился из ниоткуда, все технические индикаторы стали бесполезными.
Некоторые пользователи шутливо отметили, что низкая ликвидность спасла Polkadot в этот раз, сохранив фактические потери на уровне около 237 000 долларов.
Тем не менее, низкая ликвидность мостовых активов, хотя и ограничивала прибыль хакера, выявила потенциальные уязвимости слоя кросс-цепочной совместимости.
Сообщается, что Hyperbridge, разработанный Polytope Labs, является проектом кросс-цепочной совместимости в экосистеме Polkadot, который долгое время полагался на криптографические доказательства вместо многофакторных комитетов в качестве основного механизма безопасности, позиционируя себя как инфраструктуру с минимизированным доверием. Проект ранее подчеркивал свою устойчивость к распространенным атакам на мосты.
Но этот инцидент может указывать на то, что целостности механизма криптографического доказательства недостаточно для обеспечения безопасности; конкретная логика реализации контракта Gateway на стороне Ethereum также составляет поверхность атаки.
С более широкой точки зрения, этот инцидент отражает продолжающуюся серьезную ситуацию с безопасностью в DeFi с 2026 года. В этом году произошло несколько значительных атак, включая создание Venus 2,15 миллиона долларов плохого долга из-за манипуляций с ценами, избыточную эмиссию 80 миллионов USR от Resolve и взлом Drift на сумму более 285 миллионов долларов активов, с различными методами атак и широким спектром затронутых областей.
Захват прав на эмиссию для неограниченной эмиссии не является новой моделью атаки. Тем не менее, из-за крайне низкой ликвидности Hyperbridge потери неожиданно были минимизированы.
Согласно данным CertiK, в марте было зафиксировано 46 инцидентов безопасности, с общими потерями примерно 39,8 миллиона долларов, что стало самым высоким месячным рекордом с ноября 2024 года. CertiK также отметила, что частота эксплуатации уязвимостей кода возросла, возможно, в связи с ростом инструментов для обнаружения уязвимостей с помощью ИИ.
Рост частоты атак также побуждает индустрию пересмотреть границы безопасности и регулирования. Главный стратегический директор Circle Данте Диспарте ранее призвал протоколы, кошельки, биржи и эмитентов стейблкоинов рассматривать безопасность и ответственность как общее обязательство в ответ на инцидент кражи протокола Drift, предложив, чтобы протоколы DeFi могли разработать технические меры защиты на блокчейне, ссылаясь на механизмы прерывания торгов на традиционном рынке, и продвигать соответствующее законодательство для включения стандартов защиты прав собственности и финансовой конфиденциальности в закон до того, как произойдет следующий крупный инцидент.
Вам также может понравиться
Прежде чем начать пользоваться приложением X Chat от Маска, которое называют «западным WeChat», необходимо разобраться в следующих трёх вопросах
Приложение X Chat будет доступно для скачивания в App Store в эту пятницу. СМИ уже осветили список функций приложения, включая самоуничтожающиеся сообщения, защиту от создания скриншотов, групповые чаты на 481 участника, интеграцию с Grok и регистрацию без указания номера телефона, позиционируя его как «западный WeChat». Однако есть три вопроса, которые практически не затрагивались ни в одном из отчетов.
На официальной странице справки X до сих пор висит одно предложение: «Если злонамеренные сотрудники компании или сама компания X приведут к раскрытию зашифрованных переписок в ходе судебных разбирательств, ни отправитель, ни получатель об этом даже не узнают».
Нет. Разница заключается в том, где хранятся ключи.
При сквозном шифровании в Signal ключи никогда не покидают ваше устройство. Ни X, ни суд, ни какая-либо сторонняя организация не владеет вашими ключами. На серверах Signal нет ничего, что позволило бы расшифровать ваши сообщения; даже если бы им была направлена судебная повестка, они могли бы предоставить лишь временные метки регистрации и время последнего подключения, о чем свидетельствуют данные о прошлых судебных повестках.
X Chat использует протокол Juicebox. В данном решении ключ разбивается на три части, каждая из которых хранится на одном из трёх серверов, управляемых компанией X. При восстановлении ключа с помощью PIN-кода система извлекает эти три фрагмента с серверов компании X и объединяет их. Каким бы сложным ни был PIN-код, фактическим хранителем ключа является X, а не пользователь.
Вот в чем заключается техническая суть «фразы со страницы справки»: поскольку ключ хранится на серверах компании X, она имеет возможность реагировать на судебные запросы без ведома пользователя. У Signal нет такой возможности не из-за каких-то правил, а просто потому, что у него нет ключа.
На приведенной ниже иллюстрации сравниваются механизмы безопасности приложений Signal, WhatsApp, Telegram и X Chat по шести критериям. X Chat — единственная из четырёх платформ, где ключ хранится на самой платформе, и единственная, не поддерживающая функцию «Forward Secrecy».
Значение концепции «передовой секретности» заключается в том, что даже если в какой-то момент ключ будет скомпрометирован, предыдущие сообщения не удастся расшифровать, поскольку каждое сообщение имеет свой уникальный ключ. Протокол Double Ratchet в Signal автоматически обновляет ключ после каждого сообщения, чего нет в X Chat.
Проанализировав архитектуру XChat в июне 2025 года, профессор криптологии Университета Джонса Хопкинса Мэтью Грин отметил: «Если рассматривать XChat как систему сквозного шифрования, то эта уязвимость выглядит как настоящий «конец игры»». Позже он добавил: «Я не доверяю этому не больше, чем нынешним незашифрованным личным сообщениям».
С момента публикации отчета TechCrunch в сентябре 2025 года до запуска в апреле 2026 года эта архитектура не претерпела никаких изменений.
В твите от 9 февраля 2026 года Маск пообещал провести тщательные тесты безопасности X Chat перед его запуском на платформе X Chat, а также открыть исходный код.
На момент запуска 17 апреля не было проведено ни одной независимой сторонней проверки, на GitHub отсутствует официальный репозиторий кода, а из информации о конфиденциальности в App Store следует, что X Chat собирает пять и более категорий данных, включая местоположение, контактную информацию и историю поиска, что прямо противоречит маркетинговому заявлению «Без рекламы, без трекеров».
Не постоянный мониторинг, а четкая точка доступа.
Для любого сообщения в X Chat пользователи могут нажать и удерживать кнопку, а затем выбрать «Спросить Grok». При нажатии этой кнопки сообщение отправляется в Grok в виде открытого текста, при этом на этом этапе происходит переход из зашифрованного состояния в незашифрованное.
Эта особенность конструкции не является уязвимостью, а является особенностью. Однако в политике конфиденциальности X Chat не указано, будут ли эти данные в виде открытого текста использоваться для обучения модели Grok и будет ли Grok хранить содержание этих бесед. Нажимая кнопку «Спросить Grok», пользователи добровольно снимают защиту данного сообщения с помощью шифрования.
Есть также структурная проблема: Как быстро эта кнопка превратится из «дополнительной функции» в «привычку по умолчанию»? Чем выше качество ответов Grok, тем чаще пользователи будут полагаться на него, что приведет к увеличению доли сообщений, выходящих за пределы защиты шифрования. Фактическая степень защиты X Chat в долгосрочной перспективе зависит не только от архитектуры протокола Juicebox, но и от того, как часто пользователи нажимают кнопку «Спросить Грока».
В первоначальной версии X Chat поддерживается только iOS, а в отношении версии для Android указано лишь «скоро», без указания конкретных сроков.
На мировом рынке смартфонов доля Android составляет около 73 %, а доля iOS — около 27 % (IDC/Statista, 2025 г.). Из 3,14 миллиарда активных пользователей WhatsApp в месяц 73 % используют Android (по данным Demand Sage). В Индии WhatsApp насчитывает 854 миллиона пользователей, при этом доля пользователей Android превышает 95 %. В Бразилии насчитывается 148 миллионов пользователей, из которых 81 % используют Android, а в Индонезии — 112 миллионов пользователей, из которых 87 % используют Android.
Доминирующее положение WhatsApp на мировом рынке коммуникаций основано на Android. Signal, ежемесячная аудитория которого составляет около 85 миллионов активных пользователей, также опирается в основном на пользователей, заботящихся о конфиденциальности, в странах, где преобладает Android.
X Chat обошел это поле битвы, что можно интерпретировать двумя способами. Одной из причин является технический долг: приложение X Chat написано на языке Rust, и обеспечить кроссплатформенную поддержку не так просто, поэтому приоритет iOS может быть обусловлен техническими ограничениями. Другой причиной является стратегический выбор: учитывая, что доля рынка iOS в США составляет почти 55 %, а основная аудитория X находится именно в США, приоритет iOS означает сосредоточение внимания на своей основной аудитории, а не вступление в прямую конкуренцию с развивающимися рынками, где доминирует Android, и с WhatsApp.
Эти две интерпретации не исключают друг друга и приводят к одному и тому же результату: С момента запуска X Chat компания добровольно отказалась от 73 % мировой базы пользователей смартфонов.
Этот вопрос уже описывался некоторыми: X Chat вместе с X Money и Grok образуют триаду, создающую замкнутую систему обмена данными, параллельную существующей инфраструктуре, по своей концепции схожую с экосистемой WeChat. Эта оценка не нова, но в связи с запуском X Chat стоит еще раз вернуться к этой схеме.
X Chat генерирует метаданные об общении, включая информацию о том, кто с кем общается, как долго и как часто. Эти данные поступают в систему управления идентификацией X. Часть содержимого сообщения проходит через функцию «Ask Grok» и попадает в цепочку обработки Grok. Финансовые транзакции обрабатываются системой X Money: внешнее публичное тестирование было завершено в марте, а в апреле система стала доступна для широкой публики, что позволило осуществлять прямые переводы фиатных валют через Visa Direct. Один из руководителей компании Fireblocks подтвердил планы по запуску криптовалютных платежей до конца года; в настоящее время компания обладает лицензиями на осуществление денежных переводов в более чем 40 штатах США.
Все функции WeChat работают в рамках китайского законодательства. Система Маска функционирует в рамках западного нормативно-правового поля, однако он также возглавляет Департамент по повышению эффективности государственного управления (DOGE). Это не копия WeChat; это воссоздание той же логики в иных политических условиях.
Разница заключается в том, что WeChat никогда явно не заявлял о наличии «сквозного шифрования» в своем основном интерфейсе, в то время как X Chat это делает. «Сквозное шифрование», с точки зрения пользователя, означает, что никто, даже сама платформа, не может прочитать ваши сообщения. Архитектурная концепция X Chat не соответствует этим ожиданиям пользователей, однако в ней используется этот термин.
X Chat объединяет три направления данных — «кто этот человек, с кем он общается, а также откуда поступают и куда уходят его деньги» — в руках одной компании.
Фраза на странице справки никогда не была просто технической инструкцией.
Растущий в 50 раз, с FDV, превышающим 10 миллиардов долларов США, почему RaveDAO?
Недавно запущенная бета-версия Parse Noise: как "привязать" к цепочке этот интерес?
Объявить войну ИИ? Сценарий Судного дня за пожаром резиденции Ультрамана
Путь Клода к глупости в диаграммах: Цена бережливости, или Как счет за API вырос в 100 раз
Уходит ли лобстер в прошлое? Разбираемся с инструментами Hermes Agent, которые увеличивают вашу производительность в 100 раз
Криптовалютные венчурные компании мертвы? Начался цикл исчезновения рынка
Регресс пограничной земли: Возвращение к морской мощи, энергии и доллару
Последнее интервью Артура Хейза: Как розничным инвесторам ориентироваться в конфликте с Ираном?
Только что Сэм Альтман снова подвергся нападению, на этот раз с применением огнестрельного оружия
Блокада Ормузского пролива, Обзор стейблкоинов | Утреннее издание Rewire News
От завышенных ожиданий до противоречивого поворота событий: аирдроп Genius вызвал негативную реакцию сообщества.
Завод электрических автомобилей Xiaomi в районе Дасин Пекина стал новым Иерусалимом для американской элиты
Ультрамен не боится, что его особняк подвергнется нападению — у него есть крепость.
Переговоры между США и Ираном провалились, биткоин борется за защиту уровня в 70 000 долларов
Строгие рамки, свободные навыки: Реальное происхождение 100-кратной производительности ИИ
Размышления и путаница крипто-венчурного инвестора
Утренние новости | Эфирная машина расторгла сделку с SPAC на $1,6 млрд; SpaceX хранит около $603 млн в биткоинах; Майкл Сейлор снова опубликовал информацию о Bitcoin Tracker
Прежде чем начать пользоваться приложением X Chat от Маска, которое называют «западным WeChat», необходимо разобраться в следующих трёх вопросах
Приложение X Chat будет доступно для скачивания в App Store в эту пятницу. СМИ уже осветили список функций приложения, включая самоуничтожающиеся сообщения, защиту от создания скриншотов, групповые чаты на 481 участника, интеграцию с Grok и регистрацию без указания номера телефона, позиционируя его как «западный WeChat». Однако есть три вопроса, которые практически не затрагивались ни в одном из отчетов.
На официальной странице справки X до сих пор висит одно предложение: «Если злонамеренные сотрудники компании или сама компания X приведут к раскрытию зашифрованных переписок в ходе судебных разбирательств, ни отправитель, ни получатель об этом даже не узнают».
Нет. Разница заключается в том, где хранятся ключи.
При сквозном шифровании в Signal ключи никогда не покидают ваше устройство. Ни X, ни суд, ни какая-либо сторонняя организация не владеет вашими ключами. На серверах Signal нет ничего, что позволило бы расшифровать ваши сообщения; даже если бы им была направлена судебная повестка, они могли бы предоставить лишь временные метки регистрации и время последнего подключения, о чем свидетельствуют данные о прошлых судебных повестках.
X Chat использует протокол Juicebox. В данном решении ключ разбивается на три части, каждая из которых хранится на одном из трёх серверов, управляемых компанией X. При восстановлении ключа с помощью PIN-кода система извлекает эти три фрагмента с серверов компании X и объединяет их. Каким бы сложным ни был PIN-код, фактическим хранителем ключа является X, а не пользователь.
Вот в чем заключается техническая суть «фразы со страницы справки»: поскольку ключ хранится на серверах компании X, она имеет возможность реагировать на судебные запросы без ведома пользователя. У Signal нет такой возможности не из-за каких-то правил, а просто потому, что у него нет ключа.
На приведенной ниже иллюстрации сравниваются механизмы безопасности приложений Signal, WhatsApp, Telegram и X Chat по шести критериям. X Chat — единственная из четырёх платформ, где ключ хранится на самой платформе, и единственная, не поддерживающая функцию «Forward Secrecy».
Значение концепции «передовой секретности» заключается в том, что даже если в какой-то момент ключ будет скомпрометирован, предыдущие сообщения не удастся расшифровать, поскольку каждое сообщение имеет свой уникальный ключ. Протокол Double Ratchet в Signal автоматически обновляет ключ после каждого сообщения, чего нет в X Chat.
Проанализировав архитектуру XChat в июне 2025 года, профессор криптологии Университета Джонса Хопкинса Мэтью Грин отметил: «Если рассматривать XChat как систему сквозного шифрования, то эта уязвимость выглядит как настоящий «конец игры»». Позже он добавил: «Я не доверяю этому не больше, чем нынешним незашифрованным личным сообщениям».
С момента публикации отчета TechCrunch в сентябре 2025 года до запуска в апреле 2026 года эта архитектура не претерпела никаких изменений.
В твите от 9 февраля 2026 года Маск пообещал провести тщательные тесты безопасности X Chat перед его запуском на платформе X Chat, а также открыть исходный код.
На момент запуска 17 апреля не было проведено ни одной независимой сторонней проверки, на GitHub отсутствует официальный репозиторий кода, а из информации о конфиденциальности в App Store следует, что X Chat собирает пять и более категорий данных, включая местоположение, контактную информацию и историю поиска, что прямо противоречит маркетинговому заявлению «Без рекламы, без трекеров».
Не постоянный мониторинг, а четкая точка доступа.
Для любого сообщения в X Chat пользователи могут нажать и удерживать кнопку, а затем выбрать «Спросить Grok». При нажатии этой кнопки сообщение отправляется в Grok в виде открытого текста, при этом на этом этапе происходит переход из зашифрованного состояния в незашифрованное.
Эта особенность конструкции не является уязвимостью, а является особенностью. Однако в политике конфиденциальности X Chat не указано, будут ли эти данные в виде открытого текста использоваться для обучения модели Grok и будет ли Grok хранить содержание этих бесед. Нажимая кнопку «Спросить Grok», пользователи добровольно снимают защиту данного сообщения с помощью шифрования.
Есть также структурная проблема: Как быстро эта кнопка превратится из «дополнительной функции» в «привычку по умолчанию»? Чем выше качество ответов Grok, тем чаще пользователи будут полагаться на него, что приведет к увеличению доли сообщений, выходящих за пределы защиты шифрования. Фактическая степень защиты X Chat в долгосрочной перспективе зависит не только от архитектуры протокола Juicebox, но и от того, как часто пользователи нажимают кнопку «Спросить Грока».
В первоначальной версии X Chat поддерживается только iOS, а в отношении версии для Android указано лишь «скоро», без указания конкретных сроков.
На мировом рынке смартфонов доля Android составляет около 73 %, а доля iOS — около 27 % (IDC/Statista, 2025 г.). Из 3,14 миллиарда активных пользователей WhatsApp в месяц 73 % используют Android (по данным Demand Sage). В Индии WhatsApp насчитывает 854 миллиона пользователей, при этом доля пользователей Android превышает 95 %. В Бразилии насчитывается 148 миллионов пользователей, из которых 81 % используют Android, а в Индонезии — 112 миллионов пользователей, из которых 87 % используют Android.
Доминирующее положение WhatsApp на мировом рынке коммуникаций основано на Android. Signal, ежемесячная аудитория которого составляет около 85 миллионов активных пользователей, также опирается в основном на пользователей, заботящихся о конфиденциальности, в странах, где преобладает Android.
X Chat обошел это поле битвы, что можно интерпретировать двумя способами. Одной из причин является технический долг: приложение X Chat написано на языке Rust, и обеспечить кроссплатформенную поддержку не так просто, поэтому приоритет iOS может быть обусловлен техническими ограничениями. Другой причиной является стратегический выбор: учитывая, что доля рынка iOS в США составляет почти 55 %, а основная аудитория X находится именно в США, приоритет iOS означает сосредоточение внимания на своей основной аудитории, а не вступление в прямую конкуренцию с развивающимися рынками, где доминирует Android, и с WhatsApp.
Эти две интерпретации не исключают друг друга и приводят к одному и тому же результату: С момента запуска X Chat компания добровольно отказалась от 73 % мировой базы пользователей смартфонов.
Этот вопрос уже описывался некоторыми: X Chat вместе с X Money и Grok образуют триаду, создающую замкнутую систему обмена данными, параллельную существующей инфраструктуре, по своей концепции схожую с экосистемой WeChat. Эта оценка не нова, но в связи с запуском X Chat стоит еще раз вернуться к этой схеме.
X Chat генерирует метаданные об общении, включая информацию о том, кто с кем общается, как долго и как часто. Эти данные поступают в систему управления идентификацией X. Часть содержимого сообщения проходит через функцию «Ask Grok» и попадает в цепочку обработки Grok. Финансовые транзакции обрабатываются системой X Money: внешнее публичное тестирование было завершено в марте, а в апреле система стала доступна для широкой публики, что позволило осуществлять прямые переводы фиатных валют через Visa Direct. Один из руководителей компании Fireblocks подтвердил планы по запуску криптовалютных платежей до конца года; в настоящее время компания обладает лицензиями на осуществление денежных переводов в более чем 40 штатах США.
Все функции WeChat работают в рамках китайского законодательства. Система Маска функционирует в рамках западного нормативно-правового поля, однако он также возглавляет Департамент по повышению эффективности государственного управления (DOGE). Это не копия WeChat; это воссоздание той же логики в иных политических условиях.
Разница заключается в том, что WeChat никогда явно не заявлял о наличии «сквозного шифрования» в своем основном интерфейсе, в то время как X Chat это делает. «Сквозное шифрование», с точки зрения пользователя, означает, что никто, даже сама платформа, не может прочитать ваши сообщения. Архитектурная концепция X Chat не соответствует этим ожиданиям пользователей, однако в ней используется этот термин.
X Chat объединяет три направления данных — «кто этот человек, с кем он общается, а также откуда поступают и куда уходят его деньги» — в руках одной компании.
Фраза на странице справки никогда не была просто технической инструкцией.
App