区块链安全机构CertiK 今日指出，Hyperbridge 闸道器合约存在严重漏洞，攻击者藉由伪造跨链讯息夺取以太坊上Polkadot (DOT) 代币合约管理员权限，铸造10 亿枚代币后迅速兑换为价值23.7 万美元的ETH▼，造成DOT 价格短时下跌近4%。

Hyperbridge 闸道器遭入侵，骇客伪造讯息夺取合约控制权

4 月13 日，Polkadot 在以太坊上的桥接版代币遭遇重大资安事件。区块链安全机构CertiK发出警报，指出攻击者针对跨链互操作协议Hyperbridge 的闸道器合约发动攻击，成功伪造跨链讯息，窃取以太坊上DOT 代币合约的管理员与铸币权限。

CertiK 分析，攻击者在单一交易中同时部署主合约与辅助合约，由辅助合约向存在漏洞的HandlerV1 合约提交伪造的状态证明，借此绕过Hyperbridge ISMP (可互操作状态机协议) 的验证机制。攻击者随后透过特定路径执行恶意的「ChangeAssetAdmin」操作，将DOT 代币合约的完整控制权转移至自身帐户。

CertiK 指出，此次漏洞的根本原因在于ISMP 流程对状态证明的验证机制不足，导致攻击者得以对连接的代币合约执行未经授权的治理操作。

一次交易铸造10 亿枚DOT 后抛售，获利108.2 ETH

取得铸币权限后，攻击者随即铸造10 亿枚wrapped DOT，相当于当时35.6 万枚流通供应量的2,800 倍。链上追踪平台Lookonchain记录显示，攻击者在铸币完成后，于单笔交易中将全数代币透过OdosRouter 与Uniswap V4 流动性池一次性抛售，兑换成108.2 ETH▼，得手约23.7 万美元。

值得注意的是，此次攻击仅波及在以太坊上流通的wrapped DOT，并未影响Polkadot 原生链或其上的DOT 代币原生地址。

尽管如此，消息传出后市场仍出现恐慌，DOT 价格一度下跌逾4% 至1.16 美元，现已略微回稳。韩国两大加密货币交易所Upbit 与Bithumb 也随即宣布暂停Polkadot 相关交易，以因应安全疑虑。

截至截稿时，Hyperbridge 与Polytope Labs 均尚未发出任何官方声明，亦未公布紧急应对措施、合约暂停机制或后续计画。

本文链接地址：https://www.wwsww.cn/DOT/38198.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。