Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Ponte Polkadot que alegou ser impossível de hackear, atingida por exploração de 1 bilhão de tokens DOT falsos
Hiperponte, uma ponte descentralizada que conecta o De bolinhas ecossistema para o Ethereum rede, sofreu uma grande violação de segurança que permitiu a um invasor cunhar 1 bilhão de tokens DOT não autorizados.
No entanto, o potencial pagamento multimilionário do hacker foi drasticamente reduzido para cerca de US$ 240.000, pois simplesmente não havia liquidez suficiente para sacar os ativos fabricados.
Embora as perdas financeiras diretas decorrentes da exploração tenham sido relativamente contidas, o incidente enviou ondas de choque através o ecossistema Polkadot, levando o token nativo DOT da rede ao seu nível mais baixo em meio a ansiedades mais amplas do mercado em relação à segurança entre cadeias.
Anatomia da exploração do Hyperbridge
Especialistas em segurança explicaram que a vulnerabilidade residia em como Hiperponte os contratos validavam as mensagens de cross-chain recebidas antes de passá-las para o gateway de token.
Empresa de segurança Blockchain BlockSec Phalcon identificado a causa raiz é uma “vulnerabilidade de repetição à prova da Cordilheira Merkle (MMR). Este é essencialmente um ponto cego criptográfico que permitiu ao invasor reciclar provas de segurança antigas e válidas e anexá-las a solicitações maliciosas recém-criadas.
No centro da violação estava a falta de validação de entrada na função `VerifyProof()` do sistema. Em operações padrão entre cadeias, uma ponte deve verificar se uma solicitação originada em uma blockchain é autêntica antes de executar uma ação correspondente, como cunhar tokens, em outra.
Neste caso, o contrato Hyperbridge não conseguiu vincular adequadamente a carga útil da solicitação enviada à prova validada. O sistema apenas verificou se um hash de solicitação não havia sido usado antes, sem verificar se a prova realmente correspondia à mensagem que deveria autenticar.
Ao manipular os parâmetros do índice, o invasor contornou totalmente a computação raiz do sistema. Essa desconexão permitiu que o hacker forjasse uma mensagem válida entre cadeias, elevasse seus privilégios ao status de administrador e ordenasse o contrato para cunhar 1 bilhão de tokens DOT no Ethereum.
Enquanto isso, a primeira cunhagem de tokens foi precedida por um ataque inicial mais silencioso. Analista da rede Spectre observado que cerca de uma hora antes da fabricação massiva do DOT, um invasor explorou um contrato TokenGateway relacionado para desviar 245 ETH, no valor de aproximadamente US$ 537.000.
Esses fundos foram rapidamente fragmentados, distribuídos em 15 endereços de carteira separados em incrementos de aproximadamente 16,4 ETH, e lavados através do protocolo de privacidade Tornado Cash.
Como a pouca profundidade do mercado mitigou os danos
Embora a cunhagem de mil milhões de tokens normalmente sinalize um evento catastrófico que destrói o protocolo, o atacante foi frustrado pela própria mecânica das finanças descentralizadas: a profundidade do mercado.
Quando um hacker rouba ativos, ele normalmente os troca por um pool de liquidez de formador de mercado automatizado (AMM) por um ativo mais líquido e estável, como Ethereum ou uma moeda estável. UM pool de liquidez precifica os ativos com base na proporção de tokens mantidos nele.
Neste cenário, o pool DOT em ponte no Ethereum era relativamente raso. Quando o invasor tentou despejar 1 bilhão de tokens forjados no pool para extrair ETH, o grande volume da ordem de venda imediatamente sobrecarregou a liquidez disponível.
Como resultado, o algoritmo, reequilibrando a proporção, reduziu drasticamente o preço do DOT em ponte de US$ 1,22 para pequenas frações de centavo em milissegundos.
Como o mercado não conseguiu absorver a encomenda massiva a preços estáveis, o lucro do atacante foi severamente limitado.
A empresa de análise de blockchain Arkham Intelligence informou que o hacker só conseguiu extrair cerca de US$ 240.000 em ETH do pool de liquidez do DOT.
Entretanto, se a vulnerabilidade tivesse sido explorada num conjunto mais profundo ou com um ativo interligado de maior valor, a devastação financeira teria sido exponencialmente maior.
Da pegadinha do Primeiro de Abril à realidade
Enquanto isso, esta violação recente traz uma forte dose de ironia para a equipe de desenvolvimento do Hyperbridge, chegando menos de duas semanas depois que o projeto publicou uma piada do Dia da Mentira sobre sofrer uma exploração catastrófica.
No dia 1º de abril, os canais oficiais do Hyperbridge postado um relatório de incidente falso alegando uma violação de US$ 37 milhões em seu Ethereum, Arbitrageme implantações básicas.
A postagem simulada culpou a ficção Hackers norte-coreanos do Grupo Lazarusagentes de inteligência artificial desonestos e até mesmo computação quântica. A postagem chegou a brincar que auditores externos tentaram alertar a equipe, mas os desenvolvedores estavam offline, comendo barras de KitKat para comemorar a chegada de um engenheiro que se tornou pai.
Na época, o projeto descartado críticas da comunidade à piada, vangloriando-se publicamente de que sua comunidade principal sabia que o protocolo era “inviolável”.
Essa arrogância evaporou até o momento desta publicação, pois os desenvolvedores do protocolo foram forçados a interromper a plataforma em tempo real.
Tecnologias de Paridade, a principal empresa de desenvolvimento por trás do ecossistema Polkadot, rapidamente interveio para gerenciar as consequências. A empresa esclarecido que a exploração foi estritamente isolada do contrato de gateway Ethereum da Hyperbridge.
Ele acrescentou que a rede principal do Polkadot, seus parachains conectados e os tokens DOT nativos permaneceram totalmente seguros e intocados pela violação.
Temores de contágio empurram Polkadot para níveis mais baixos de todos os tempos
Mesmo que o subjacente Blockchain Polkadot nunca foi comprometida, o impacto psicológico da exploração da sua ponte mais dominante teve um forte impacto na sua moeda nativa.
Após a notícia da violação, os dados de CriptoSlate mostrou que o token DOT nativo de Polkadot caiu 5% durante o início do pregão asiático na segunda-feira, caindo para US$ 1,14.
O declínio empurra o ativo perigosamente para perto de seu mínimo histórico de US$ 1,13. O token foi preso em uma espiral descendente brutal, perdendo cerca de 70% de seu valor ao longo do ano passado, em meio a uma recessão mais ampla do mercado de criptografia e à diminuição do interesse do varejo em redes alternativas legadas de camada um.
Para o ecossistema Polkadot, a exploração do Hyperbridge é o pior cenário em relação à óptica do mercado.
Mesmo que os desenvolvedores enfatizem a distinção técnica entre um contrato Ethereum de terceiros vulnerável e a rede central segura Polkadot, os investidores de varejo muitas vezes veem a marca como um monólito.
Até que a infraestrutura entre cadeias possa atingir o mesmo nível de segurança que as cadeias de blocos subjacentes às quais se conecta, estes eventos de liquidez continuarão a reduzir a confiança do mercado mais amplo.
As pontes continuam sendo o elo mais fraco da Web3
Entretanto, o incidente Hyperbridge sublinha uma vulnerabilidade persistente e sistémica nas finanças descentralizadas: pontes de cadeia cruzada são inerentemente frágeis.
No ecossistema Web3, as pontes são infraestruturas essenciais. Eles permitem a comunicação de blockchains diferentes e isolados, oferecendo aos usuários maior flexibilidade, taxas mais baixas e acesso a uma gama mais ampla de aplicativos descentralizados.
No entanto, para funcionarem, estas pontes devem conter enormes reservas de activos bloqueados de um lado para emitir activos “embrulhados” correspondentes do outro.
Como esses protocolos atuam essencialmente como enormes honeypots governados por contratos inteligentes complexos, eles representam o alvo mais lucrativo para os cibercriminosos.
Se um hacker puder comprometer as chaves privadas dos validadores da ponte ou, como no caso da Hyperbridge, explorar uma vulnerabilidade no código do contrato inteligente, ele poderá assumir o controle administrativo e drenar os ativos subjacentes ou imprimir fornecimento infinito.
Notavelmente, a história da criptografia está repleta de explorações de pontes devastadoras. Em março de 2022, a ponte da Rede Roninconstruído para o ecossistema de jogos Axie Infinity, teve mais de US$ 600 milhões drenados em um dos maiores assaltos da história da criptografia.
Mais tarde naquele ano, o Ponte cruzada da cadeia BNB sofreu uma exploração de código, resultando na criação não autorizada de 2 milhões de tokens BNB no valor de aproximadamente US$ 566 milhões. Outras violações catastróficas incluem o Hack de buraco de minhoca de US$ 321 milhões e o Exploração da ponte Nomad de US$ 190 milhões.
