Hyperbridge:本次攻擊事件漏洞源於Merkle證明驗證邏輯缺陷
漏洞根源與攻擊過程
漏洞根源在於HandlerV1合約VerifyProof()函數缺少輸入驗證,未對leaf_index < leafCount進行校驗,導致攻擊者可偽造Merkle證明。攻擊者藉此獲得以太坊上橋接DOT代幣合約的管理員權限,隨即增發10億枚橋接DOT(為合法流通量約35.6萬枚的2800餘倍),並在去中心化交易所套現。
官方回應與後續措施
Hyperbridge表示,目前正與安全合作方追蹤資金,跨鏈功能將持續暫停至調查完成。官方指出,漏洞源於Solidity實現的Merkle Mountain Range(MMR)證明驗證邏輯缺陷,導致無效證明被錯誤接受。
影響範圍
此次事件僅影響跨鏈至以太坊的DOT資產,原生Polkadot主網及平行鏈資產未受影響。