10億枚DOT憑空鑄造，但黑客只賺了23萬美元

作者：周，ChainCatcher

北京時間四月十三日上午十點，某鏈上監測平台發布了警報：以太坊網絡上出現了來自Polkadot的跨鏈橋接資產異常發行。
根據CertiK的分析，攻擊者透過Hyperbridge的ISMP協議，向以太坊側的HandlerV1合約提交了一份精心構造的跨鏈請求，並附上了一份歷史上曾被接受的真實MMR證明，從而成功繞過了驗證機制。

BlockSec Phalcon隨後發布了一份技術警報，將該漏洞歸類為MMR證明重放漏洞。根據他們的分析，該漏洞的根源在於HandlerV1合約的回放保護機制僅會驗證特定請求的哈希值是否曾被使用過，但驗證過程並未將提交的請求負載與已認證的證明進行綁定。

這一邏輯漏洞使攻擊者能夠重放一個歷史有效的證明，並將其與新構造的惡意請求配對，從而通過TokenGateway.onAccept()路徑執行ChangeAssetAdmin操作，將以太坊上包裝版DOT合約（地址：0x8d...8F90b8）轉移到攻擊者控制的地址。

根據鏈上數據顯示，攻擊者在獲得鑄造權限後，鑄造了10億枚跨鏈橋/橋接DOT，這大約是當時該代幣在以太坊上報告的流通供應量（約35.6萬枚）的2805倍。

隨後，攻擊者透過Odos Router和Uniswap V4流動性池將所有代幣兌換成約108.2 ETH，並將其轉入攻擊者的外部帳戶。按當時的價格計算，此次攻擊獲利約23.7萬美元，而整個攻擊過程僅消耗了約0.74美元的燃料費。

BlockSec Phalcon還提到，此前曾發生過一起利用相同手法的攻擊事件，目標是MANTA和CERE代幣，導致約12,000美元的損失。這兩起襲擊造成的總損失約為24.2萬美元。

事件發生後，韓國兩大主流交易所Upbit和Bithumb宣布暫停DOT及AssetHub Polkadot網絡的充值和提現服務，以防範潛在的虛假充值風險。

Polkadot官方表示，該漏洞僅影響透過Hyperbridge橋接至以太坊的DOT，不會影響Polkadot生態系統內的DOT資產，也不會影響透過其他跨鏈橋轉出的DOT。Polkadot及其平行鏈，以及原生代幣DOT，依然安全且未受影響。目前，Hyperbridge已暫停運營以調查此事。

值得一提的是，儘管鑄造規模達到了10億，但實際損失遠低於理論數字。由於以太坊上包裝版DOT的鏈上流動性極其有限，10億枚代幣的集中拋售導致包裝版DOT的價格瞬間從1.22美元暴跌至0.00012831美元，跌幅達99.98%，致使大部分代幣無法用於強制平倉。

根據CoinMarketCap的數據，受市場情緒影響，原生代幣DOT的價格也一度下跌近5%。

X平台上的用戶坦率地表示，誰能想到這款曾與以太坊齊名的跨鏈神話DOT，竟會在社交媒體上引發如此大的轟動。跨鏈橋再次成為加密貨幣世界的「阿喀琉斯之踵」，從曾經被忽視的領域變成了滿目瘡痍的戰場。當10億枚DOT憑空出現時，所有技術指標都變得毫無價值。

一些用戶開玩笑說，正是流動性不足這次保存了Polkadot，使得實際損失控制在23.7萬美元左右。

然而，橋接資產的流動性不足，雖然限制了黑客的獲利空間，但也暴露了跨鏈互操作性層的潛在漏洞。

據報導，由Polytope Labs開發的Hyperbridge是Polkadot生態系統中的一個跨鏈互操作性項目，該項目長期以來一直依賴加密證明而非多簽名委員會作為其核心安全機制，並定位為一種信任最小化的跨鏈基礎設施。該項目此前曾強調其能夠抵禦常見的跨鏈橋/橋接攻擊。

但這一事件可能表明，僅靠加密證明機制的完整性尚不足以確保安全性；以太坊側Gateway合約的具體實現邏輯同樣構成了攻擊面。

從更宏觀的角度來看，這一事件反映了自2026年以來DeFi領域持續嚴峻的安全形勢。今年發生了多起重大攻擊事件，包括Venus因價格操縱導致215萬美元壞帳、Resolve超鑄造8000萬USR，以及Drift遭黑客攻擊損失逾2.85億美元資產，這些攻擊手段各異，受影響範圍廣泛。

接管鑄造權以實現無限發行，並非一種新的攻擊模式。然而，由於Hyperbridge的流動性極度匱乏，損失意外地被降到了最低。

據CertiK數據顯示，僅三月就記錄了46起安全事件，總損失約為3980萬美元，創下自十一月以來的最高月度紀錄。CertiK還指出，代碼漏洞被利用的頻率有所增加，這可能與人工智慧輔助的漏洞發現工具日益普及有關。

攻擊頻率的上升也促使行業重新審視安全與監管的邊界。Circle首席戰略官丹特·迪斯帕特（Dante Disparte）此前針對Drift Protocol盜竊事件呼籲，協議、錢包、交易所及穩定幣發行方應將安全與問責視為共同責任。他建議，DeFi協議可借鑒傳統市場的熔斷機制，開發鏈上技術防護措施，並推動相關立法，在下一重大事件發生前，將財產權和金融隱私保護標準納入法律。