Một lỗ hổng kỹ thuật của cầu nối Token blockchain Hyperbridge đã dẫn đến việc tạo ra giả mạo 1 tỷ token Polkadot (DOT ) với tổng giá trị hơn 1,1 tỷ đô la — nhưng công ty chỉ chịu khoản lỗ khoảng 237.000 đô la do tính thanh khoản hạn chế, theo báo cáo của công ty hôm thứ Hai.
Giao thức này, cho phép người dùng chuyển tiền đến và từ các chuỗi khối khác nhau—như Ethereum sang Polkdaot—cho biết vụ tấn công là do lỗ hổng trong logic xác minh bằng chứng của nó. Kẻ gây ra vụ tấn công vẫn chưa được xác định.
“Lỗi này cho phép các bằng chứng không hợp lệ bị chấp nhận sai là hợp lệ,” Hyperbridge đăng trên X. “Kết quả là, một thông điệp độc hại đã được xử lý, cấp cho kẻ tấn công quyền kiểm soát quản trị đối với hợp đồng Token DOT được kết nối trên Ethereum.”
Sau khi kẻ khai thác có quyền truy cập vào hợp đồng Token DOT được kết nối, chúng đã tiến hành Mint 1 tỷ token DOT được kết nối — vượt quá nguồn cung Token DOT được kết nối thực tế khoảng 2.800 lần. Để so sánh, tổng nguồn cung DOT gốc, không được kết nối, chỉ là 1,6 tỷ token.
Công ty và nhóm phát triển blockchain Polkadot đã xác nhận rằng lỗ hổng bảo mật chỉ giới hạn ở DOT được kết nối trên blockchain Ethereum .
Sau khi tạo ra các token, kẻ tấn công đã bán chúng trực tiếp trên các sàn giao dịch phi tập trung, thu về khoảng 237.000 đô la - số tiền hiện có trong thanh khoản giao dịch.
Nếu có đủ thanh khoản, người nào đó sở hữu khoảng 1 tỷ token DOT có thể kiếm được hơn 1 tỷ đô la khi Token này đang giao dịch ở mức khoảng 1,17 đô la, giảm 4,6% trong 24 giờ qua.
Tính đến thời điểm đó, DOT đã giảm hơn 68% trong năm giao dịch vừa qua và gần như giảm 98% so với mức cao nhất mọi thời đại là 54,98 đô la vào tháng 11 năm 2021. Hiện tại, giá DOT chỉ cao hơn một chút so với mức giá thấp nhất mọi thời đại là 1,15 đô la, được thiết lập vào tháng Hai.
Ứng dụng của giao thức này hiện đang tạm ngừng hoạt động để bảo trì do đang bổ sung “các biện pháp bảo vệ bổ sung” và hợp tác với các đối tác an ninh nhằm khôi phục lại số tiền bị đánh cắp.
Các giao thức cầu nối đã trở thành mục tiêu của nhiều vụ tấn công mạng trong những năm qua, nổi bật nhất là vụ tấn công mạng Ronin Network trị giá 552 triệu đô la vào năm 2022 khi tin tặc tấn công cầu nối gốc của nó với Ethereum. Vụ tấn công này vẫn là một trong những vụ hack tiền điện tử lớn nhất mọi thời đại và được các cơ quan chính phủ Hoa Kỳ liên kết với nhóm tin tặc Lazarus khét tiếng do nhà nước Triều Tiên tài trợ.
Vụ tấn công mới nhất này làm gia tăng thêm những lo ngại xung quanh vấn đề an ninh của các giao thức DeFi , sau vụ tấn công gần đây vào giao thức Drift của Solana , khiến một hacker có liên hệ với Triều Tiên mất hơn 285 triệu đô la vào ngày 1 tháng 4.
