하이퍼브리지는 지난 3일 동안 4월 13일 손실로 인한 피해가 감당 가능한 수준이라고 시장에 알렸습니다. 그러나 오늘(4월 16일) 발표한 복구 현황에서 초기 손실 추산액인 23만 7천 달러가 실제로는 약 250만 달러에 달한다고 밝혔습니다.
거의 10배에 달하는 재계산으로 인해 이번 공격의 심각성이 한층 높아졌으며, 복구 시점이 불확실한 다중 연쇄dent 이라는 점이 더욱 우려을 증폭시키고 있습니다. 게다가 이번 공격은 하이퍼브리지(Hyperbridge)가 만우절 장난으로 라자루스 그룹(Lazarus Group)에 의해 해킹당했다고 주장한 직후에 발생했습니다.
23만 7천 달러가 어떻게 250만 달러가 되었을까요?
언론 에 보도된 23만 7천 달러라는 수치는 Ethereum DOT ) 토큰 의 손실만을 근거로 한 것이었습니다 . 하지만 실제로 이는 23만 7천 달러가 사라지기 거의 한 시간 전부터 이미 진행 중이던 공격의 가장 눈에 띄는 부분에 불과했습니다.
복구 업데이트 블로그 에 따르면 , 이번 공격은 두 단계에 걸쳐 발생했습니다. 첫 번째 단계는 두 번째 단계가 시작되기 전에 관련 TokenGateway 계약에서 약 245 ETH를 조용히 빼돌리는 것이 trac trac
한 시간 후, 가짜 크로스체인 메시지가 하이퍼브리지의 머클 산맥 증명 검증 로직을 우회하여 해커가 브리지된 DOT 토큰 계약에 대한 관리자 권한을trac하고 약 10억 개의 브리지된 DOT 토큰을 발행하여 다른 탈중앙화 거래소에 투기할 수 있게 되었습니다.
BlockSec Phalcon 이 확인한 바에 dent , 이번 공격의 근본 원인은 2년 전에 작성된 trac 의 VerifyProof() 함수에서 경계 검사가 누락된 것이었습니다
당초 제시된 23만 7천 달러라는 수치에는 영향을 받은 4개 EVM(전자투표기) 체인 전반에 걸쳐 운영되는 인센티브 풀에서 발생한 손실이 포함되지 않았습니다.
Ethereum , Base, BNB 체인 및 Arbitrum 전반에 걸친 공격자의 모든 활동을 기록한 후 2단계 구조 와 그에 따른 풀 손실을 고려하여 해킹 당시 DOT
돌이켜보면 최악의 만우절 장난이었다
하이퍼브리지 취약점은 하이퍼브리지가 북한의 라자루스 그룹이 프로토콜에서 3,700만 달러를 훔쳐갔다는 내용의 만우절 농담을 게시한 지 정확히 12일 만에 발생했습니다. 해당 발표는 "하이퍼브리지는 해킹될 수 없는 이유"를 설명하는 삭제된 블로그 게시물과 연결되어 있었습니다
역사적으로 하이퍼브리지는 크로스체인 브리지에 대한 전체 노드 보안을 제공하는 증명 기반 상호 운용성 계층으로 자리매김해 왔으며, 이는 4월 13일 해킹 공격에 사용된 바로 그 메커니즘이었습니다.
오늘 발표된 업데이트에서 하이퍼브리지 팀은 주저함 없이 이 문제를 직접적으로 언급했습니다. "이번 익스플로잇을 통해 명백해진 것은, 값비싼 대가를 치르더라도, 스택의 모든 계층에서 검증 로직에 대한 더욱 빈번한 감사와 공격자 테스트를 실시해야 한다는 점입니다."
Hyperbridge 사용자는 언제 보상을 받을 수 있습니까?
하이퍼브리지는 도난당한 자금의 상당 부분이 온체인 상에서 Binance로 trac되었다는 사실을 확인했지만, 진행 중인 수사에 지장을 주지 않기 위해 구체적인 내용은 공개하지 않을 것이라고 밝혔습니다.
또한 프로토콜은 복구가 실패할 경우 어떻게 될지 공개했습니다. 영향을 받는 사용자가 다른 채널을 통해 완전한 보상을 받지 못할 경우, Hyperbridge는 잔여 손실을 보전하기 위해 BRIDGE 토큰을 체계적으로 배분할 것을 약속합니다.
보상금 지급 일정 및 평가 세부 사항은 해당 사건 발생 1년 후인 2027년 4월 13일에 공개될 예정입니다.
토큰 게이트웨이 운영은 다음 세 가지 조건이 충족될 때까지 일시 중단됩니다. 취약점이 완전히 패치되고, 패치에 대한dent감사가 완료되어 보고서가 공개되며, 추가적인 안전 장치가 가동될 때까지입니다.
Hyperbridge의 Intent Gateway와 이를 기반으로 구축된 제품은 이번 취약점의 영향을 받지 않으며 정상적으로 작동합니다.
