Negli ultimi tre giorni Hyperbridge ha rassicurato il mercato affermando che i danni subiti a seguito della perdita del 13 aprile erano gestibili. Tuttavia, nell'aggiornamento odierno, 16 aprile, ha rivelato che la stima iniziale della perdita, calcolata in 237.000 dollari, si aggirava in realtà intorno ai 2,5 milioni di dollari.
Quel ricalcolo quasi decuplicato ha aumentato notevolmente la gravità dell'attacco, aggravata dal fatto che si tratta di un incidente multi-chain senza una tempistica di ripristino in vista. A ciò si aggiunge lo scherzo del pesce d'aprile di Hyperbridge, in cui si affermava che la piattaforma fosse stata hackerata dal Lazarus Group.
Come hanno fatto 237.000 dollari a diventare 2,5 milioni di dollari?
La cifra di 237.000 dollari che circolava sui media si basava unicamente sulla perdita osservabile di token Polkadot (DOT) collegati tramite bridge su Ethereum. A quanto pare, questa era solo la parte più visibile di un attacco che era già in corso da quasi un'ora prima che i 237.000 dollari scomparissero.
Secondo quanto riportato nel post del blog di Hyperbridge sull'aggiornamento completo del ripristino , l'attacco si è verificato in due fasi. La prima fase è stata un'estrazione silenziosa, che ha spostato quasi 245 ETH da un contratto TokenGateway correlato, prima dell'inizio della seconda fase.
Un'ora dopo, un falso messaggio cross-chain ha aggirato la logica di verifica della prova Merkle Mountain Range di Hyperbridge, consentendo all'hacker di ottenere il controllo amministrativo sul contratto del token DOT collegato e di coniare circa 1 miliardo di token DOT, che sono stati successivamente venduti in altri exchange decentralizzati.
La causa principale dell'attacco, confermata da BlockSec Phalcon, è stata la mancanza di un controllo dei limiti nella funzione VerifyProof() del contratto Handler V1 di Hyperbridge, scritto oltre due anni fa.
La cifra iniziale di 237.000 dollari non teneva conto nemmeno delle perdite derivanti dai fondi di incentivazione attivi nelle quattro catene di macchine per il voto elettronico interessate.
Dopo che Hyperbridge ha registrato tutta l'attività dell'attaccante su Ethereum, Base, BNB Chain e Arbitrum, la struttura a due fasi dell'attacco, così come le perdite associate ai pool, hanno rivisto il totale iniziale a circa 2,5 milioni di dollari, valutati in ETH e DOT al momento dell'attacco.
Uno scherzo del primo aprile che, col senno di poi, non potrebbe essere peggiore.
La vulnerabilità di HyperBridge è stata scoperta esattamente dodici giorni dopo che HyperBridge aveva pubblicato uno scherzo per il pesce d'aprile in cui si affermava che il gruppo nordcoreano Lazarus aveva rubato 37 milioni di dollari dal protocollo. L'annuncio era collegato a un post del blog, poi cancellato, che spiegava "Perché HyperBridge non può essere hackerato".
Storicamente, Hyperbridge si è posizionato come un livello di interoperabilità basato su prove, offrendo sicurezza completa dei nodi per i bridge cross-chain, che era esattamente il meccanismo utilizzato dall'hacker del 13 aprile per penetrarvi.
Nell'aggiornamento odierno, il team di Hyperbridge ha affrontato la questione direttamente e senza esitazioni: "Questo exploit ha chiarito, a caro prezzo, che la logica di verifica necessita di audit più frequenti e di test avversariali a ogni livello dello stack."
Quando gli utenti di Hyperbridge possono aspettarsi un risarcimento?
Hyperbridge ha ora confermato che una parte consistente dei fondi rubati è stata rintracciata on-chain su Binance, ma ha dichiarato che non rivelerà dettagli specifici per non compromettere l'indagine in corso.
Il protocollo ha inoltre reso noto cosa accadrà in caso di fallimento del ripristino. Qualora gli utenti interessati non vengano risarciti integralmente tramite altri canali, Hyperbridge si impegna a fornire un'allocazione strutturata di token BRIDGE per coprire la perdita residua.
Il piano di erogazione e i dettagli di valutazione saranno resi noti il 13 aprile 2027, un anno dopo l'operazione.
Le operazioni di Token Gateway rimarranno sospese fino a quando non saranno soddisfatte tre condizioni: la vulnerabilità sarà completamente corretta, la patch sarà stata sottoposta a una verifica indipendente con relativa pubblicazione del rapporto e saranno operative ulteriori misure di sicurezza.
Hyperbridge Intent Gateway e i prodotti basati su di esso non sono stati interessati dalla vulnerabilità e continuano a funzionare normalmente.
Esiste una via di mezzo tra lasciare i soldi in banca e tentare la fortuna con le criptovalute. Inizia con questo video gratuito sulla finanza decentralizzata .