Des hackers exploitent une faille du pont inter-chaînes Hyperbridge pour créer de nulle part 1 milliard de jetons DOT, dont la valeur nominale atteint 1,19 milliard de dollars, mais en raison d’un manque criant de liquidité sur le marché, ils n’ont finalement pu encaisser qu’environ 237 000 dollars.
Les événements d’attaque de crypto-monnaies se succèdent sans cesse, mais des cas du type « prendre de gros risques pour gagner de petites sommes » sont vraiment rares. Plus tôt aujourd’hui (13), des hackers ont exploité une faille du pont inter-chaînes Hyperbridge : ils ont créé de nulle part sur Ethereum 1 milliard de jetons Polkadot (DOT). Leur valeur nominale s’élève à 1,19 milliard de dollars. Cependant, lorsqu’ils ont tenté de vendre ces jetons, faute d’une liquidité suffisante, ils n’ont finalement pu échanger qu’environ 237 000 dollars en Ether.
Il faut préciser que la cible de l’attaque était « le contrat intelligent du pont inter-chaînes ». Par conséquent, les jetons natifs DOT de la chaîne principale Polkadot n’ont pas été touchés. La cause principale de cette faille est que, avant que le contrat EthereumHost de Hyperbridge n’achemine le message inter-chaînes vers TokenGateway, il n’a pas pu vérifier correctement l’authenticité du message.
Source de l’image : X/@OnchainLens
Les ponts inter-chaînes sont depuis toujours le maillon le plus fragile de l’architecture blockchain, car ils disposent des droits de gestion des contrats de jetons. Dès qu’il y a une faille dans le mécanisme de vérification, les hackers peuvent facilement obtenir le pouvoir de frapper des jetons de manière illimitée.
Méthode d’attaque : falsifier le message, s’emparer des droits de gestion, frapper des jetons à l’infini
Le suivi on-chain montre que le hacker a soumis un message falsifié via dispatchIncoming, et a réussi à l’orienter vers TokenGateway.onAccept. À l’origine, le système devait vérifier l’authenticité de ce message en se basant sur l’état de la chaîne Polkadot, mais le mécanisme de vérification a enregistré la valeur d’engagement comme « tout zéro ». Cela signifie que la procédure de vérification a été complètement contournée ou qu’elle n’existait tout simplement pas ; par conséquent, le système a pris par erreur ce faux message pour une instruction légitime.
Le message accepté a alors exécuté la fonction changeAdmin du contrat de jetons Polkadot bridgés, transférant les droits de l’administrateur à l’adresse de l’attaquant. Une fois les droits de gestion obtenus, l’attaquant a frappé 1 milliard de jetons DOT en une seule transaction, puis a transféré ces jetons via Odos Router V3 dans le pool de transactions DOT-ETH de Uniswap V4. Après plusieurs échanges à des prix légèrement différents, il a finalement extrait environ 108,2 Ether.
« Manque de liquidité » devenu un bouclier de protection
Sur les marchés financiers, le « manque de liquidité » est généralement un problème qui donne le plus de soucis aux grands investisseurs, mais, ironiquement, cette fois le manque de liquidité est au contraire devenu un bouclier de protection invisible, limitant fortement la capacité des hackers à tirer profit.
Comme la profondeur de liquidité des DOT sur Ethereum est extrêmement limitée, il n’a tout simplement pas été possible d’absorber ces 1 milliard de jetons créés de nulle part. Lorsque le hacker a cherché à les vendre et à encaisser rapidement, le slippage extrême a fait que le prix réel de chaque jeton ne dépassait même pas 1 centime.
Si, au contraire, la même faille s’était produite sur un actif bridgé avec une liquidité plus profonde, ou une valeur plus élevée, elle aurait probablement causé des pertes de dizaines de fois. Au moment de la rédaction, le prix des transactions DOT est d’environ 1,17 dollar ; au cours des 24 dernières heures, il a baissé de 5 %.
Cet événement montre à nouveau que, même si les hackers disposent du « pouvoir de frappe illimitée », le fait de réussir ou non à arbitrer dépend encore de la liquidité du marché et de la profondeur des transactions. L’organisme de cybersécurité blockchain CertiK a ensuite confirmé cette attaque, et a indiqué que les hackers ont réalisé un bénéfice d’environ 237 000 dollars en frappant et en vendant les jetons bridgés.
À ce jour, l’official de Hyperbridge n’a publié aucun commentaire public concernant l’incident.
Source de l’image : X/@CertiKAlert
- Cet article est republié avec autorisation depuis : « 区块客 »
- Titre original : « Le pire hold-up ? Des hackers créent 1 milliard de dollars $DOT, et ne volent que 230 000 dollars “pour cette raison” »
- Auteur de l’article original : 区块妹 MEL
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Aave Challenges $73M ETH Gel dans le cadre de l’affaire d’exploit du DAO Kelp
Aave LLC a déposé une requête d’urgence devant un tribunal fédéral à une date non précisée, demandant de lever une ordonnance du 1er mai qui a gelé environ 73 millions de dollars en ether liés à l’exploit de Kelp DAO. Le dépôt conteste les restrictions imposées à Arbitrum DAO pour déplacer les fonds récupérés, alors que des plaignants issus d’une autre
CryptoFrontierIl y a 1m
Le PDG de Zondacrypto disparaît le 5 mai avec 4 500 clés privées Bitcoin ; le PDG actuel s’enfuit vers Israël
D’après BlockBeats, le 5 mai, l’ancien PDG de la plateforme d’échange de cryptomonnaies polonaise Zondacrypto a disparu en 2022, emportant avec lui les clés privées d’un portefeuille froid contenant 4 500 BTC (d’une valeur actuelle de plus de 340 millions de dollars). Le PDG actuel a admis que le portefeuille n’est désormais plus accessible et aurait pris la fuite pour Israël.
GateNewsIl y a 41m
Payward allègue une fraude de conservation de crypto par $25M contre Etana
Payward, la société mère de l’échange crypto Kraken, a déposé une plainte alléguant une fraude de garde de cryptomonnaies de 25 millions de dollars contre Etana et le PDG de la société, selon la plainte. Les allégations portent sur des affirmations selon lesquelles des fonds de clients auraient été détournés, mélangés et dissimulés dans le cadre d’une arnaque « de type Ponzi-like » s
CryptoFrontierIl y a 2h
Bisq Protocol attaqué : environ 11 BTC volés en raison de mécanismes de validation manquants
D’après une déclaration officielle rapportée par ChainCatcher, le protocole Bisq a récemment été attaqué, entraînant le vol d’environ 11 BTC, en raison de mécanismes de validation manquants. Les attaquants ont exploité une vulnérabilité de frais de mineur négatifs pour transférer des fonds via des transactions à signatures multiples.
Bisq est
GateNewsIl y a 2h
Aave contre-attaque une motion d’urgence pour bloquer 73 millions de dollars en ETH : « le voleur ne possède pas ce qu’il a volé »
Aave soumet une requête d’urgence au tribunal fédéral du district sud de New York, demandant la levée du gel de 30 766 ETH (environ 73 millions de dollars). Arguments centraux : les fonds volés appartiennent toujours à l’utilisateur d’origine, et le voleur ne peut pas en acquérir la propriété ; les fonds reviennent immédiatement aux victimes lorsque le Comité de sécurité de la chaîne Arbitrum effectue le rappel ; les preuves concernant le groupe nord-coréen Lazarus Group relèvent du ouï-dire, et l’audience devrait se tenir à la fin du mois de mai. Cette affaire aura un impact sur la gouvernance DeFi et sur les risques futurs quant à l’attribution des actifs.
ChainNewsAbmediaIl y a 3h
Six anciens joueurs du FC Séville inculpés dans un schéma de fraude crypto Shirtum, les pertes des investisseurs dépassent 24 millions d'euros
D’après Cryptopolitan, six anciens joueurs du Seville FC ont été mis en accusation pour suspicion d’implication dans le schéma de fraude crypto Shirtum, avec des pertes pour les investisseurs dépassant 24 millions d’euros (environ 28 millions de dollars). Les joueurs cités dans la plainte pénale sont Papu Gómez, Lucas Ocampos, Ivan Rakitić,
GateNewsIl y a 3h
