一名黑客利用Hyperbridge协议的管理权限漏洞,在以太坊链上成功伪造并铸造了十亿枚桥接版DOT代币。尽管攻击者试图通过流动性市场变现,但受限于资金池深度,最终仅兑换出约108.2枚以太坊,折合约二十三万七千美元。该事件再次将跨链资产转移底层架构的安全性推至舆论焦点。
据CertiK团队追踪,攻击者通过伪造消息篡改了以太坊端的Polkadot代币合约控制权,从而绕过授权机制实现代币批量生成。由于桥接资金池流动性不足,大量代币无法即时流通,导致实际获利规模远低于预期。
Blocksec Falcon分析指出,根本原因可能源于证明与请求之间缺乏绑定机制,致使默克尔山脉范围(MMR)证明可被重复使用,形成重放攻击入口。尽管协议方尚未正式确认具体成因,初步判断指向验证层对恶意证明的识别失效。
Polkadot官方声明强调,此次事件仅影响经由Hyperbridge桥接至以太坊的DOT代币,原生链上资产及整个Polkadot生态系统保持完整稳定。尽管短暂冲击下DOT价格跌至1.16美元,但根据CoinGecko数据,已回升至1.19美元以上,显示市场信心逐步修复。
攻击过程表明,仅凭一次高权限操作即可触发大规模代币创建。攻击者通过篡改合约管理权限,激活桥接层的铸币功能,并借由流动性驱动机制完成部分清算。这一路径凸显当前跨链协议中验证逻辑与控制指令之间的耦合脆弱性。
Hyperbridge已紧急暂停服务并启动全面升级,目前仍在评估漏洞细节。尽管初步归因于恶意证明操纵默克尔树验证器,但尚无最终结论。该案例警示:一旦验证层存在信任盲区,即使微小的控制指令也可能被滥用为系统性破坏工具。
研究人员普遍认为,跨链证明与请求未建立强绑定关系,是此类攻击的核心诱因。若允许同一份证明被多次提交或用于不同请求,极易催生重放攻击场景。尽管这与已有攻击模式一致,但协议方仍未发布明确的技术定性说明。
该事件强化了业界共识:即便标榜“全节点安全”的协议,若底层证明体系存在设计疏漏,仍难逃被攻破命运。市场反应呈现分化——对桥接资产的谨慎态度增强,而流动性条件成为决定攻击实际收益的关键变量,也重塑了用户对桥梁风险的认知框架。
与此同时,数据索引协议SubQuery Network亦曝出约十三万美元的安全事件,根源在于访问控制配置不当,使攻击者能将恶意合约设为质押奖励提取目标。审计机构提醒,长期存在的权限漏洞可能在部署多年后仍构成资产威胁窗口。
整体来看,2026年第一季度去中心化金融领域累计损失达1.68亿美元,较2025年同期的15.8亿美元显著下降。数据显示行业整体安全态势趋于优化,但个别协议的严重漏洞仍表明风险并未根除。特别是像Hyperbridge这类关键桥梁,其故障可能引发连锁反应。
对开发者和用户而言,必须强化对管理权限的分层控制,提升请求与验证证明间的绑定强度,并建立持续监控机制。Hyperbridge的修复进程及其后续披露的根本原因报告、修复方案及第三方审计结果,将是重建信任的关键节点。
随着跨链基础设施日益深入主流应用,监管与标准组织正加强对该领域的关注。投资者应保持审慎,密切关注桥接资产的流动性动态与协议更新状态。未来趋势或将聚焦于形式化验证、自动化漏洞检测以及透明化的事件通报流程,推动跨链安全进入以防御为核心的新阶段。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.