在 2026 年 4 月 13 日,發現了一個關鍵的安全漏洞,影響連接 Polkadot 與 Ethereum 的 Hyperbridge 跨鏈閘道。根據安全公司 CertiK 的說法,攻擊者利用 Merkle Mountain Range 證明驗證中的重放漏洞,讓他能未經授權地取得以太坊上橋接 DOT 合約的管理員存取權。攻擊者鑄造了十億枚假 DOT 代幣,並執行了一次單一的交換交易,將全部代幣換成約 108.2 ETH(約 237,000 美元),但因流動性限制無法再出售。橋接 DOT 的價格在受影響的流動性池中由約 1.22 美元跌至不到一美分,導致 DOT 在主要交易所的價格下跌約 5%,之後出現部分回升。區塊鏈上的資料顯示,該攻擊於大約 UTC 05:05 發生,當時偽造的狀態承諾證明繞過 tokengateway.handleChangeAdmin 函數中的身份驗證檢查。這一漏洞使攻擊者得以取得以太坊上 ERC-20 包裝 DOT 合約的管理員角色,並生成無限量的代幣供應。儘管鑄造規模龐大,但去中心化交易所的流動性偏低,限制了攻擊者的利潤不到 25 萬美元。Polkadot 的主中繼鏈仍然安全,原生 DOT 代幣未受到此次入侵的影響。開發人員與審計人員現正優先修補,以強化嚴格的管理員角色檢查並解決重放漏洞。領先的鏈上分析平台如 CoinGecko 記錄 DOT 價格在攻擊後數分鐘內從 1.23 美元跌至最低 1.17 美元,之後穩定在約 1.19 美元。Hyperbridge 開發團隊承諾與 CertiK 及區塊鏈安全專家合作,進行全面的事後分析、修補閘道合約,並實施額外的治理防護措施。Polkadot 社群也在審視近期的供給上限治理措施,強調在依賴密碼證明的跨鏈解決方案中,進行全面的安全審計的必要性。此事件凸顯橋接漏洞的持續風險,以及在智能合約開發中嚴謹的形式化驗證的重要性。
評論 (0)