ハイパーブリッジは過去3日間、4月13日の損失による損害は管理可能な範囲内だと市場に説明してきた。しかし、本日4月16日に発表した復旧状況のアップデートで、当初23万7000ドルと見積もられていた損失額が、実際には約250万ドルに上ることを明らかにしました。.
この10倍近い再計算によって、今回の脆弱性の深刻度は数段階上昇した。さらに、これは複数の連鎖的dent であり、復旧の見通しが立たないという事実が事態を一層深刻化させている。また、今回の件は、ハイパーブリッジがエイプリルフールのジョークで、ラザルスグループにハッキングされたと主張した直後に発生した。.
23万7000ドルがどうやって250万ドルになったのか?
ニュースで報じられた23万7000ドルという金額は、Ethereum DOT )トークンの目に見える損失のみに基づいていた。しかし実際には、それは23万7000ドルが消失するほぼ1時間前から行われていた攻撃の、最も目に見える部分に過ぎなかった。
Hyperbridgeの完全復旧アップデートブログ記事によると、この攻撃は2段階で行われた。第1段階は静かな抽出でtractracから約245ETHが移動された。
1時間後、偽のクロスチェーンメッセージがHyperbridgeのマークルマウンテンレンジ証明検証ロジックを回避し、ハッカーはブリッジされた DOT トークンtracに対する管理権限を獲得し、約10億個のブリッジされた DOT トークンを生成しました。生成されたトークンはその後、他の分散型取引所に大量に放出されました。.
BlockSec Phalconによって特定されたdentの根本原因は、 2年以上前に作成されたtracのVerifyProof()関数における境界チェックの欠落であったことが
当初の23万7000ドルという数字には、影響を受けた4つのEVMチェーン全体で運用されているインセンティブプールからの損失は含まれていなかった。.
Ethereum 、Base、 BNB Chain、Arbitrumにおける攻撃者の活動をすべて記録した後2段階構造とそれに伴うプール損失により、当初の総額はハッキング発生時のDOT
今思えば、これ以上ないほどひどいエイプリルフールの悪ふざけだった。
Hyperbridgeの脆弱性が露呈したのは、Hyperbridgeが北朝鮮のラザルスグループがプロトコルから3700万ドルを盗んだと主張するエイプリルフールのジョークを投稿してからちょうど12日後のことだった。この発表は、「HyperBridgeがハッキングされない理由」を説明する削除済みのブログ記事にリンクされていた。
歴史的に見て、 Hyperbridgeは、クロスチェーンブリッジにフルノードセキュリティを提供する証明ベースの相互運用性レイヤーとして位置づけられており、4月13日のハッキング攻撃ではまさにこの仕組みが悪用された。
Hyperbridgeチームは本日発表したアップデートで、この問題に臆することなく直接的に言及した。「今回の脆弱性によって、検証ロジックにはスタックのあらゆる層において、より頻繁な監査と攻撃者によるテストが必要であることが、多大な犠牲を伴いながら明らかになった。」
Hyperbridgeのユーザーはいつ補償を受けられるのでしょうか?
Hyperbridgeは、盗まれた資金の大部分がオンチェーン上で Binanceに tracたことを確認したが、進行中の捜査に支障をきたさないよう、具体的な詳細は明らかにしないと述べた。.
このプロトコルでは、復旧が失敗した場合の対応についても明らかにされています。影響を受けたユーザーが他の手段で補償を受けられない場合、Hyperbridgeは残りの損失を補填するために、BRIDGEトークンを体系的に割り当てて提供することを約束しています。.
資金の分配スケジュールおよび評価額の詳細は、事業実施から1年後の2027年4月13日に公表される予定です。.
トークンゲートウェイの運用は、脆弱性が完全に修正され、修正プログラムがdentによって監査され、その報告書が公開され、追加の安全対策が運用されるまで一時停止されたままとなります。.
Hyperbridgeのインテントゲートウェイおよびそれを基盤として構築された製品は、今回の脆弱性の影響を受けず、正常に動作し続けています。.
