Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Le braquage le plus absurde du monde de la cryptomonnaie ? Un hacker a forgé 1 milliard de DOT, mais n’a volé que 230 000 dollars.
Les hackers ont exploité une vulnérabilité du pont inter-chaînes Hyperbridge pour forger arbitrairement 1 milliard de jetons DOT, d’une valeur nominale de 1,19 milliard de dollars, mais en raison d’une liquidité de marché extrêmement faible, ils n’ont finalement encaissé qu’environ 237 000 dollars.
Les attaques contre les cryptomonnaies sont de plus en plus fréquentes, mais des cas comme celui-ci, où l’on prend de gros risques pour peu de gains, sont rares. Ce matin (13), un hacker a exploité une faille dans le pont inter-chaînes Hyperbridge pour forger arbitrairement 1 milliard de jetons Polkadot (DOT) sur Ethereum, d’une valeur nominale de 1,19 milliard de dollars. Cependant, lorsqu’il a tenté de vendre ces jetons, la faible liquidité du marché l’a contraint à ne récupérer qu’environ 237 000 dollars en ETH.
Il est important de préciser que l’attaque visait le « contrat intelligent du pont inter-chaînes », donc les jetons DOT natifs sur le réseau principal Polkadot n’ont pas été affectés. La faille provient principalement du contrat EthereumHost d’Hyperbridge, qui n’a pas correctement vérifié la véracité des messages inter-chaînes avant de transmettre ces messages à TokenGateway.
Source : X/@OnchainLens
Les ponts inter-chaînes sont depuis longtemps l’un des maillons les plus vulnérables de l’architecture blockchain, car ils détiennent le contrôle des contrats de jetons. Si leur mécanisme de vérification est compromis, un hacker peut facilement obtenir le pouvoir de forger une quantité illimitée de jetons.
Méthodes d’attaque : falsification de messages, prise de contrôle administrative, création illimitée de jetons
Le suivi sur la blockchain montre que le hacker a soumis un message falsifié via dispatchIncoming, qui a été dirigé avec succès vers TokenGateway.onAccept. Normalement, le système aurait dû vérifier la véracité de ce message en se basant sur l’état de la chaîne Polkadot, mais le mécanisme de vérification a enregistré la valeur de la promesse comme « zéro », ce qui signifie que le processus de validation a été complètement contourné ou n’a pas existé, et le système a donc considéré ce faux message comme une instruction légitime.
Le message accepté a immédiatement déclenché la fonction changeAdmin du contrat de jetons Polkadot, transférant le contrôle administratif à l’adresse de l’attaquant. Après avoir obtenu le contrôle, celui-ci a forgé 1 milliard de DOT en une seule transaction, puis, via Odos Router V3, a injecté ces jetons dans la pool DOT-ETH de Uniswap V4. Après plusieurs échanges à des prix légèrement différents, il a finalement extrait environ 108,2 ETH.
« La faible liquidité » devient une barrière de protection
Dans le monde financier, la « faible liquidité » est souvent le cauchemar des gros investisseurs, mais ironiquement, cette fois, la faible liquidité a agi comme un bouclier invisible, limitant considérablement le profit potentiel du hacker.
Étant donné que la profondeur de marché pour DOT sur Ethereum est extrêmement limitée, il était impossible d’absorber ces 1 milliard de jetons forgés arbitrairement. Lorsqu’il a tenté de les vendre rapidement, la chute brutale des prix a fait que la valeur réelle de chaque jeton est tombée à moins d’un centime de dollar.
Sur une plateforme avec une liquidité plus profonde ou pour un actif de valeur plus élevée, la même faille aurait pu causer des pertes des dizaines de fois supérieures. Au moment de la rédaction, le prix de DOT est d’environ 1,17 dollar, en baisse de 5 % au cours des dernières 24 heures.
Cet incident démontre encore une fois que, même si un hacker possède le « pouvoir de forger des jetons à l’infini », la réussite de l’arbitrage dépend toujours de la liquidité et de la profondeur du marché. CertiK, une organisation reconnue en sécurité blockchain, a confirmé cette attaque et indiqué que le hacker a réalisé un profit d’environ 237 000 dollars en forgeant et en vendant les jetons du pont.
Jusqu’à présent, l’équipe officielle d’Hyperbridge n’a pas publié de commentaire public concernant cet incident.
Source : X/@CertiKAlert