1 Milliarde DOTs wurden aus dem Nichts geprägt, aber der Hacker verdiente nur 230.000 Dollar

Autor: Zhou, Kettenfänger

Am 13. April um 10 Uhr Pekinger Zeit gab die On-Chain-Monitoring-Plattform Alarm: Es gab eine ungewöhnliche Ausgabe von überbrückten Vermögenswerten im Ethereum-Netzwerk von Polkadot.
Nach Analyse von CertiK reichte der Angreifer auf Ethereum-Seite eine sorgfältig ausgearbeitete Cross-Chain-Anfrage an den HandlerV1-Vertrag über das ISMP-Protokoll von Hyperbridge ein, zusammen mit einem historisch anerkannten echten MMR-Beweis, wobei er den Verifikationsmechanismus erfolgreich umging.

BlockSec Phalcon veröffentlichte daraufhin einen technischen Alarm, der diese Sicherheitsanfälligkeit als MMR-Beweis-Wiederholungsanfälligkeit einstuft. Nach ihrer Analyse liegt die Wurzel der Sicherheitsanfälligkeit darin, dass der Replay-Schutz des HandlerV1-Vertrags nur überprüft, ob der Hash einer bestimmten Anforderung zuvor verwendet wurde, aber der Beweisverifizierungsprozess die eingereichte Anforderungsnutzlast nicht an den verifizierten Beweis bindet.

Diese logische Lücke ermöglichte es dem Angreifer, einen historisch gültigen Beweis wiederzugeben und mit einer neu erstellten bösartigen Anforderung zu verbinden, wodurch die ChangeAssetAdmin-Operation über den Pfad TokenGateway.onAccept() ausgeführt und die Admin- und Minting-Rechte des verpackten DOT-Vertrags auf Ethereum übertragen wurden (Adresse: 0x8d...8F90b8) an eine vom Angreifer kontrollierte Adresse.

Laut On-Chain-Daten prägte der Angreifer nach dem Erhalt der Prägerechte 1 Milliarde Bridged DOT, was ungefähr 2805 Mal dem damals gemeldeten zirkulierenden Angebot von etwa 356.000 dieser Token auf Ethereum entsprach.

Anschließend tauschte der Angreifer alle Chips über den Odos Router und Uniswap V4 Liquiditätspool gegen etwa 108,2 ETH aus und überwies sie auf das externe Konto des Angreifers, wobei er auf Basis des damaligen Preises einen Gewinn von etwa 237.000 US-Dollar erzielte, wobei der gesamte Angriff nur etwa 0,74 US-Dollar an Gasgebühren verbrauchte.

BlockSec Phalcon erwähnte auch, dass es einen früheren Angriff mit der gleichen Methode gegeben hatte, der auf MANTA- und CERE-Token abzielte und zu einem Verlust von etwa 12.000 US-Dollar führte. Der Gesamtverlust aus beiden Angriffen belief sich auf rund 242.000 US-Dollar.

Nach dem Vorfall kündigten die führenden südkoreanischen Börsen Upbit und Bithumb die Aussetzung von Einzahlungs- und Auszahlungsdiensten für das DOT- und AssetHub Polkadot-Netzwerk an, um potenzielle gefälschte Einzahlungsrisiken zu verhindern.

Polkadot-Beamte erklärten, dass diese Sicherheitsanfälligkeit nur DOT betrifft, die über Hyperbridge mit Ethereum verbunden sind, und keine Auswirkungen auf DOT-Assets innerhalb des Polkadot-Ökosystems oder DOT hat, die über andere Cross-Chain-Brücken übertragen werden. Polkadot und seine Paraketten sowie natives DOT bleiben sicher und unberührt. Derzeit wurde Hyperbridge suspendiert, um das Problem zu untersuchen.

Erwähnenswert ist, dass der tatsächliche Verlust, obwohl die Prägungsskala eine Milliarde erreichte, weit unter dem theoretischen Wert lag. Aufgrund der extrem begrenzten On-Chain-Liquidität von eingewickeltem DOT auf Ethereum stürzte der konzentrierte Ausverkauf von 1 Milliarde Token sofort den Preis von eingewickeltem DOT von 1,22 $ auf 0,00012831 $ ab, ein Rückgang von 99,98%, wodurch die meisten Token für die Liquidation unwirksam wurden.

Laut CoinMarketCap-Daten fiel der Preis des nativen DOT-Tokens aufgrund der Marktstimmung ebenfalls kurzzeitig um fast 5%.

Nutzer auf X gaben offen an, dass wer gedacht hätte, dass der Cross-Chain-Mythos DOT, der einst neben Ethereum stand, auf diese Weise in den sozialen Medien explodieren würde. Kreuzkettenbrücken sind wieder einmal zur "Achillesferse" der Kryptowelt geworden und verwandeln sich von einem bisher vernachlässigten Bereich in einen Schauplatz der Verwüstung. Als 1 Milliarde DOT aus dem Nichts erschien, wurden alle technischen Indikatoren wertlos.

Einige Nutzer merkten scherzhaft an, dass die geringe Liquidität Polkadot dieses Mal ersparte und den tatsächlichen Verlust bei rund 237.000 Dollar beließ.

Die geringe Liquidität überbrückter Assets begrenzte zwar die Gewinne des Hackers, deckte jedoch die potenziellen Schwachstellen der kettenübergreifenden Interoperabilitätsschicht auf.

Es wird berichtet, dass Hyperbridge, das von Polytope Labs entwickelt wurde, ein kettenübergreifendes Interoperabilitätsprojekt innerhalb des Polkadot-Ökosystems ist, das sich lange Zeit auf kryptographische Beweise anstelle von Multisignaturkomitees als Kernsicherheitsmechanismus verlassen hat und sich als vertrauensminimierte Cross-Chain-Infrastruktur positioniert. Zuvor hatte das Projekt seine Widerstandsfähigkeit gegen gängige Brückenangriffe betont.

Aber dieser Vorfall könnte darauf hinweisen, dass die Integrität des kryptographischen Beweismechanismus allein nicht ausreicht, um die Sicherheit zu gewährleisten; die spezifische Implementierungslogik des Gateway-Vertrags auf Ethereum-Seite stellt auch eine Angriffsfläche dar.

Aus einer breiteren Perspektive spiegelt dieser Vorfall die anhaltende schwere Sicherheitslage in DeFi seit 2026 wider. Mehrere bedeutende Angriffe sind in diesem Jahr aufgetreten, darunter Venus, die aufgrund von Preismanipulationen 2,15 Millionen US-Dollar an faulen Schulden generiert, Resolve, das 80 Millionen US-Dollar überprägt, und Drift, das für über 285 Millionen US-Dollar an Vermögenswerten gehackt wurde.

Die Übernahme von Prägerechten zur unbegrenzten Ausgabe ist kein neues Angriffsmodell. Aufgrund der extrem geringen Liquidität von Hyperbridge konnten die Verluste jedoch unerwartet minimiert werden.

CertiK-Daten zufolge gab es allein im März 46 registrierte Sicherheitsvorfälle mit Gesamtverlusten von rund 39,8 Millionen Dollar, was den höchsten monatlichen Rekord seit November 2024 darstellt. CertiK wies auch darauf hin, dass die Häufigkeit der Ausnutzung von Code-Schwachstellen zugenommen hat, möglicherweise im Zusammenhang mit der Zunahme von KI-gestützten Tools zur Erkennung von Schwachstellen.

Der Anstieg der Angriffshäufigkeit veranlasst die Branche auch, die Grenzen von Sicherheit und Regulierung zu überdenken. Dante Disparte, Chief Strategy Officer von Circle, forderte zuvor Protokolle, Wallets, Börsen und Stablecoin-Emittenten auf, Sicherheit und Rechenschaftspflicht als eine gemeinsame Verpflichtung als Reaktion auf den Drift Protocol-Diebstahlfall zu betrachten. Er schlug vor, dass DeFi-Protokolle ketteninterne technische Schutzmaßnahmen entwickeln könnten, die traditionelle Marktschutzschaltermechanismen berücksichtigen und einschlägige Rechtsvorschriften fördern könnten, um Eigentumsrechte und Standards zum Schutz der finanziellen Privatsphäre vor dem nächsten größeren Vorfall ins Gesetz aufzunehmen.