Hyperbridge在过去三天里一直向市场宣称,4月13日的亏损尚在可控范围内。但在今天(4月16日)发布的复苏更新报告中,该公司披露,最初估计的23.7万美元亏损,实际上约为250万美元。.
近十倍的重新计算使此次攻击的严重性提升了好几个等级,更糟糕的是,这是一起多链攻击dent ,而且目前尚无恢复时间表。此外,就在Hyperbridge愚人节当天还开玩笑说自己被Lazarus Group黑客攻击之后,此事更是雪上加霜。.
23.7万美元怎么变成了250万美元?
新闻媒体报道的23.7万美元损失数字仅仅基于Ethereum DOT )代币。但事实证明,这只是攻击中最显而易见的部分,在23.7万美元消失之前,攻击已经持续了近一个小时。
根据 Hyperbridge 的完整恢复更新博客文章,此次攻击分两个阶段进行。第一阶段是悄无声息的trac在第二阶段开始之前,者从一个相关的 TokenGateway 合约中转移了近 245 个 ETH trac
一小时后,一条伪造的跨链消息绕过了 Hyperbridge 的 Merkle Mountain Range 证明验证逻辑,从而使黑客获得了对桥接 DOT 代币trac的管理控制权,并允许他们铸造大约 10 亿个桥接 DOT 代币,随后这些代币被抛售到其他去中心化交易所。.
经BlockSec Phalcondent,此次攻击的根本原因trac(两年前编写)的 VerifyProof() 函数中缺少边界检查
最初的 237,000 美元数字也没有计入受影响的四个 EVM 链的激励池的损失。.
Ethereum、Base、 BNB Chain 和 Arbitrum上的所有攻击者活动后两阶段结构以及相关的资金池损失将黑客攻击时的DOT
事后看来,这真是一个糟糕透顶的愚人节玩笑。
Hyperbridge漏洞出现整整十二天前,Hyperbridge发布了一条愚人节玩笑,声称朝鲜的拉撒路集团从该协议窃取了3700万美元。该玩笑还链接到一篇已被删除的博客文章,文章解释了“为什么HyperBridge无法被黑客攻击”。
从历史上看, Hyperbridge一直将自己定位为基于证明的互操作性层,为跨链桥提供全节点安全性,而这正是 4 月 13 日黑客攻击所使用的入侵机制。
Hyperbridge 团队在今天的更新中直接回应了这个问题,毫不犹豫:“这次漏洞利用已经清楚地表明,验证逻辑需要在堆栈的每一层进行更频繁的审计和对抗性测试,而且代价惨重。”
Hyperbridge用户何时可以获得赔偿?
Hyperbridge 现已确认,大部分被盗资金已在链上 trac到 Binance,但该公司表示不会透露具体细节,以免影响正在进行的调查。.
该协议还披露了恢复失败时的应对措施。如果受影响的用户无法通过其他渠道获得全额补偿,Hyperbridge承诺将结构化地分配BRIDGE代币以弥补剩余损失。.
资金拨付计划和估值详情将于漏洞利用发生一年后的 2027 年 4 月 13 日公布。.
Token Gateway 的运行将暂停,直到满足以下三个条件:漏洞已完全修复,补丁已由独立dent进行审计,且审计报告已公开,以及额外的安全措施已投入运行。.
Hyperbridge 的 Intent Gateway 及其构建的产品不受此漏洞的影响,并将继续正常运行。.
