ME News 速報、4月13日(UTC+8)、ブロックチェーン相互運用プロトコルHyperbridgeは、以前のDOT攻撃事件の詳細を公開し、損失は約23.7万ドルに上る。脆弱性の原因は、HandlerV1コントラクトのVerifyProof()関数に入力検証が欠如しており、leaf_index \< leafCountの検証を行っていなかったため、攻撃者がMerkle証明を偽造できたことにある。攻撃者はこれを利用してイーサリアム上のブリッジされたDOTトークンコントラクトの管理者権限を獲得し、その後10億枚のブリッジされたDOTを追加発行(合法的な流通量約35.6万枚の2800倍以上)し、分散型取引所で換金した。Hyperbridgeは、現在セキュリティパートナーと資金追跡を行っており、クロスチェーン機能は調査完了まで引き続き停止されると述べている。(出典:Foresight News)
Hyperbridge は攻撃事件の更新情報を公開しました。脆弱性は Merkle 証明検証ロジックの欠陥に起因します。
ME News 速報、4月13日(UTC+8)、ブロックチェーン相互運用プロトコルHyperbridgeは、以前のDOT攻撃事件の詳細を公開し、損失は約23.7万ドルに上る。脆弱性の原因は、HandlerV1コントラクトのVerifyProof()関数に入力検証が欠如しており、leaf_index < leafCountの検証を行っていなかったため、攻撃者がMerkle証明を偽造できたことにある。攻撃者はこれを利用してイーサリアム上のブリッジされたDOTトークンコントラクトの管理者権限を獲得し、その後10億枚のブリッジされたDOTを追加発行(合法的な流通量約35.6万枚の2800倍以上)し、分散型取引所で換金した。Hyperbridgeは、現在セキュリティパートナーと資金追跡を行っており、クロスチェーン機能は調査完了まで引き続き停止されると述べている。(出典:Foresight News)