Hyperbridge升级利用损失至250万美元，承认低估了10倍

Hyperbridge在过去三天里一直向市场宣称，4月13日的亏损尚在可控范围内。但在今天（4月16日）发布的复苏更新报告中，该公司披露，最初估计的23.7万美元亏损，实际上约为250万美元。.

近十倍的重新计算使此次攻击的严重性提升了好几个等级，更糟糕的是，这是一起多链攻击dent ，而且目前尚无恢复时间表。此外，就在Hyperbridge愚人节当天还开玩笑说自己被Lazarus Group黑客攻击之后，此事更是雪上加霜。.

23.7万美元怎么变成了250万美元？

报道的23.7万美元损失数字 新闻媒体 仅仅基于DOT）代币 Ethereum。但事实证明，这只是攻击中最显而易见的部分，在23.7万美元消失之前，攻击已经持续了近一个小时。

根据 Hyperbridge 的完整 恢复更新博客 文章，此次攻击分两个阶段进行。第一阶段是悄无声息的trac者从一个相关的 TokenGateway 合约中转移了近 245 个 ETHtrac在第二阶段开始之前，

一小时后，一条伪造的跨链消息绕过了 Hyperbridge 的 Merkle Mountain Range 证明验证逻辑，从而使黑客获得了对桥接 DOT 代币trac的管理控制权，并允许他们铸造大约 10 亿个桥接 DOT 代币，随后这些代币被抛售到其他去中心化交易所。.

，此次攻击的根本原因dent经 BlockSec Phalcon ）的 VerifyProof() 函数中缺少边界检查trac（两年前编写

最初的 237,000 美元数字也没有计入受影响的四个 EVM 链的激励池的损失。.

上的所有攻击者活动后 Ethereum、Base、 BNB Chain 和 Arbitrum 两阶段结构 以及相关的资金池损失 DOT 将黑客攻击时的

事后看来，这真是一个糟糕透顶的愚人节玩笑。

Hyperbridge漏洞出现整整十二天前，Hyperbridge发布了一条愚人节玩笑，声称朝鲜的拉撒路集团从该协议窃取了3700万美元。该玩笑还链接到一篇已被删除的博客文章，文章解释了“为什么HyperBridge无法被黑客攻击”。

从历史上看， Hyperbridge 一直将自己定位为基于证明的互操作性层，为跨链桥提供全节点安全性，而这正是 4 月 13 日黑客攻击所使用的入侵机制。

Hyperbridge 团队在今天的更新中直接回应了这个问题，毫不犹豫：“这次漏洞利用已经清楚地表明，验证逻辑需要在堆栈的每一层进行更频繁的审计和对抗性测试，而且代价惨重。”

Hyperbridge用户何时可以获得赔偿？

Hyperbridge 现已确认，大部分被盗资金已在链上 trac到 Binance，但该公司表示不会透露具体细节，以免影响正在进行的调查。.

该协议还披露了恢复失败时的应对措施。如果受影响的用户无法通过其他渠道获得全额补偿，Hyperbridge承诺将结构化地分配BRIDGE代币以弥补剩余损失。.

资金拨付计划和估值详情将于漏洞利用发生一年后的 2027 年 4 月 13 日公布。.

Token Gateway 的运行将暂停，直到满足以下三个条件：漏洞已完全修复，补丁已由独立dent进行审计，且审计报告已公开，以及额外的安全措施已投入运行。.

Hyperbridge 的 Intent Gateway 及其构建的产品不受此漏洞的影响，并将继续正常运行。.