Polkadot 遭到攻击, DOT 代币通过未经授权的桥接交易被铸造。此次攻击正值人们对去中心化协议遭受黑客攻击的警惕性日益提高之际。.
Polkadot 是一个运行多年的去中心化协议,近日遭遇了未经授权的 DOT 代币增发攻击。链上研究表明,此次攻击利用了 Hyperbridge 智能trac的缺陷,该缺陷允许在 Ethereum 网络上未经授权地增发 DOT 代币。.
HandlerV1合约tracDOT的市场价格。HyperbridgePolkadotDOT / DOT跨链兑换的主要枢纽
在攻击发生前,Hyperbridge 几乎处于闲置状态, DOT交易几乎没有进行。攻击者在EthereumDOT ,并通过一笔交易。该桥本身流动性并不高,但根据提供的存款数据,它可以无限DOT
Polkadot 的 Hyperbridge 遭受了证据重放攻击
该trac漏洞使得攻击者能够执行证明重放攻击。该桥接器允许攻击者重用先前已被接受的证明,并将其与新的请求配对,从而执行诸如更改管理员权限等多种特权操作。整个攻击过程均在 Ethereum 网络上完成,并未与其他 Polkadot 链交互。.
研究人员表示,攻击者获得了桥接合约的trac权限,从而授权了DOT代币的铸造。Certik证实,攻击者使用了伪造的消息来获取管理员权限。
链上安全研究发现多笔交易源自 Hyperbridge。这是 Polkadot 遭受的第三次桥接攻击,此前曾发生过 2025 年 XCM 桥接漏洞导致 3500 万美元损失,以及 2022 年 Nomad 桥接漏洞导致 2 亿美元损失。
尽管最新攻击规模最小,但仍然暴露了协议的潜在缺陷,加剧了桥接协议的整体风险。此次攻击紧随4月1日针对Drift Protocol的黑客攻击之后,表明攻击者正加大力度窃取加密代币或利用未经授权的铸币漏洞。
DOT 暴跌至1.20美元以下。
漏洞利用后, DOT 暴跌至1.19美元。由于快速抛售导致价格出现滑点,10亿 DOT 的闪购最终只造成了2.9%的损失。攻击者最终只将这些 DOT 兑换成了价值2.37亿美元的代币。.
作为Cryptopolitan 据报道,Polkadot 决定将DOT供应量上限设定为 21 亿枚,但尽管此次黑客攻击导致流通中的 DOT 数量超过一半,但并未像预期那样造成 DOT 价格暴跌。所有DOT都通过一次转账售出并兑换成了 ETH。
为了出售这些代币,攻击者使用了一个Railgun 钱包,并通过一系列交易转移了 ETH。Railgun 很少被用于攻击。攻击发生后的最初几个小时,混币器未能及时将地址列入黑名单,使得攻击者得以继续使用该服务并掩盖 ETH 的来源。
Hyperbridgetrac已暂停,目前尚无其他资产受到影响的报告。尽管目前正值熊市,但近期的一系列黑客攻击仍发生,攻击者试图从加密代币中trac任何可用的流动性。.
