Hyperbridge:本次攻擊事件漏洞源於Merkle證明驗證邏輯缺陷
漏洞根源分析
漏洞根源在於HandlerV1 合約VerifyProof()函數缺少輸入驗證,未對leaf_index < leafCount 進行校驗,導致攻擊者可偽造Merkle 證明。攻擊者藉此獲得以太坊上橋接DOT代幣合約的管理員權限。
攻擊後果
攻擊者隨即增發10億枚橋接DOT(為合法流通量約35.6萬枚的2800餘倍),並在去中心化交易所套現。
後續措施
Hyperbridge 表示,目前正與安全合作方追蹤資金,跨鏈功能將持續暫停至調查完成。
影響範圍
此次事件僅影響跨鏈至以太坊的DOT資產,原生Polkadot主網及平行鏈資產未受影響。