MAP Protocol 跨鏈橋已暫停，攻擊者非法鑄造 1000 萬億枚 MAPO

鏈上安全機構 Blockaid 於 5 月 20 日監測到 MAP Protocol 旗下跨鏈橋組件 Butter Bridge V3.1 在以太坊和 BSC 上遭攻擊，攻擊者利用智能合約設計缺陷，誘使橋接合約直接向新創建地址非法鑄造約 1,000 萬億枚 MAPO，約為合法流通量 2.08 億枚的 480 萬倍。

攻擊機制：重試訊息驗證流程中的智能合約設計缺陷

Blockaid 確認，此次攻擊的根源是 Butter Bridge V3.1 重試訊息驗證流程中的智能合約設計缺陷，屬合約實現層面的問題，而非 MAP Protocol 底層協議架構的失效。攻擊者通過誘導合約執行錯誤的驗證路徑，令橋接合約繞過合法的跨鏈憑據核查，直接在 Ethereum 鏈上向一個新建 EOA 地址鑄造代幣。

跨鏈橋在技術上需要同時驗證來自兩條獨立區塊鏈的訊息，每條鏈有各自的共識機制、安全模型和交易最終確認規則。MAP Protocol 設計採用點對點模型和輕客戶端驗證，理論上比依賴可信第三方驗證器的方案具備更小的攻擊面，但本次事件中合約重試邏輯的設計缺陷提供了可利用的入口。Butter Network 確認，修補、審計和重新部署工作正在進行中。

損失規模與 MAPO 市場反應：已確認數據

攻擊者已套現金額：52.21 ETH（約 18 萬美元），來自 Uniswap V4 ETH/MAPO 流動性池

攻擊者剩餘持倉：約 9,999.99 億枚 MAPO，仍在攻擊者錢包中，對所有 MAPO 相關流動性池及 CEX 上線構成持續風險

MAPO 價格影響：拋售後單日跌幅約 30%

非法鑄造總量：約 1,000 萬億枚，為合法流通量（2.08 億枚）的 480 萬倍

2026 年跨鏈橋攻擊累計損失（截至 5 月中旬）：逾 3.286 億美元

MAP Protocol 與 Butter Network 確認的應對措施

MAP Protocol 官方聲明確認以下已執行的遏制措施：MAPO ERC-20 與 MAPO 主網之間的橋接已暫停；警告用戶當前請勿在 Uniswap 上交易 MAPO ERC-20 代幣，事件緩解措施進行期間流動性池仍存在風險；團隊正與外部安全合作夥伴協調進行調查。

Butter Network 官方聲明確認：ButterSwap 已暫停所有運營；修補、審計和重新部署工作正在進行中；待處理交易將在安全恢復後處理；用戶資金未受直接損失，所有受影響交易確認將在系統恢復後全額處理。

常見問題

此次攻擊是否屬於 MAP Protocol 底層協議的架構缺陷？

Blockaid 確認，此次漏洞屬 Butter Bridge V3.1 的智能合約設計問題，具體發生在重試訊息驗證流程中，是合約實現層面的缺陷，而非 MAP Protocol 底層點對點架構或輕客戶端驗證模型的根本性失效。Butter Network 目前正在對該組件進行修補和重新審計。

攻擊者剩餘的約 9,999 億枚 MAPO 持倉為何構成持續風險？

攻擊者錢包中仍持有約 9,999.99 億枚非法鑄造的 MAPO，遠超合法流通量（2.08 億枚）的數千倍。若攻擊者選擇將這些代幣投入任何 MAPO 流動性池或向中心化交易所提交上線申請，將對 MAPO 市場價格和流動性構成極大衝擊。Blockaid 的公告明確指出，此持倉「對任何 MAPO 池或 CEX 上線構成持續風險」。

跨鏈橋為何持續成為 DeFi 生態的高風險攻擊目標？

跨鏈橋在技術架構上需要同時處理來自兩條獨立區塊鏈的訊息，而每條鏈擁有各自不同的共識機制、安全模型和最終確認規則。橋接合約通常在其中一條鏈上鎖定大量資產，並在另一條鏈上鑄造對應代幣。一旦橋接邏輯存在缺陷，攻擊者可盜走鎖定資產或在無資金背書的情況下鑄造代幣。歷史案例包括 2022 年 Nomad Bridge 逾 1.86 億美元被盜（身份驗證錯誤）、Ronin Bridge 和 Wormhole 攻擊等；2026 年迄今此類攻擊累計損失已超 3.286 億美元。