黑客如何通过伪造消息控制合约?
2025年4月13日,据CertiK链上监测,以太坊上的Hyperbridge跨链网关合约遭到黑客攻击。攻击者利用合约漏洞,通过构造伪造消息成功篡改了波卡(Polkadot)桥接代币合约的管理员权限,从而获得了对该合约的完全控制能力。
增发10亿枚DOT,真实获利却不足24万美元
取得合约控制权后,攻击者随即铸造了高达10亿枚桥接版DOT代币,并将其全部抛售。然而,由于以太坊链上该资产的流动性极为稀薄,天量卖压瞬间将代币价格从约1.22美元砸至接近于零。最终,攻击者实际套现仅约23.7万美元,与10亿枚的铸造规模相比,获利金额可谓惨淡。
为何获利远低于增发规模?
这一巨大落差的根本原因在于流动性匮乏。链上买盘根本无法承接如此体量的抛售,绝大多数增发代币几乎无法兑换成有价值的资产。这次事件从侧面揭示了跨链桥资产内在的高风险性——即便攻击成功、权限被完全控制,也不代表能够从市场中提取相应的价值。
受影响的是桥接资产,并非波卡原生链
需要特别指出的是,此次攻击针对的是以太坊上的桥接版DOT(Wrapped/Bridged DOT),与波卡原生链上的DOT资产互相独立,波卡主网本身并未受到影响。截至目前,Hyperbridge团队及波卡官方均尚未发布正式声明或事件回应。
跨链桥安全如何防范此类攻击?
此类事件凸显了对跨链桥合约进行持续链上监控的必要性。对于机构及交易所而言,借助专业的KYT(了解你的交易)工具实时追踪可疑资产流向至关重要。Trustformer KYT 提供高精度的链上交易监控与风险预警服务,可有效识别异常铸币、权限变更等高危行为,助力团队在攻击发生初期即作出响应,降低资产损失风险。