Kasus perampokan paling gila di dunia kripto? Peretas mencetak 1 miliar dolar DOT, tetapi hanya mencuri 230.000 dolar

Peretas memanfaatkan celah jembatan lintas rantai Hyperbridge, menciptakan 1 miliar token DOT secara sembarangan, meskipun nilai nominalnya mencapai 1,19 miliar dolar AS, namun karena kurangnya likuiditas pasar yang parah, akhirnya hanya berhasil mencairkan sekitar 23,7 ribu dolar AS.

Kejadian serangan cryptocurrency terus bermunculan, tetapi kasus seperti ini “berani mengambil risiko, mendapatkan sedikit uang” memang jarang terjadi. Hari ini (13), sedikit sebelumnya, seorang peretas memanfaatkan celah pada jembatan lintas rantai Hyperbridge, menciptakan secara sembarangan 1 miliar token Polkadot (DOT) di atas Ethereum, dengan nilai nominal mencapai 1,19 miliar dolar AS. Namun saat dia mencoba menjual token tersebut, karena kekurangan likuiditas yang parah, akhirnya hanya mendapatkan sekitar 23,7 ribu dolar AS dalam bentuk Ethereum.

Perlu diperjelas bahwa target serangan peretas adalah “smart contract jembatan lintas rantai”, sehingga token DOT asli di jaringan utama Polkadot tidak terkena dampak. Penyebab utama celah ini adalah kontrak EthereumHost Hyperbridge yang gagal memverifikasi keaslian pesan secara benar sebelum mengirim pesan lintas rantai ke TokenGateway.

Sumber gambar: X/@OnchainLens

Jembatan lintas rantai selalu menjadi bagian paling rapuh dalam arsitektur blockchain, karena mereka memiliki hak pengelolaan kontrak token. Jika mekanisme verifikasi mengalami celah, peretas dapat dengan mudah memperoleh kekuasaan untuk menciptakan token tanpa batas.

Metode serangan: memalsukan pesan, merebut kendali pengelolaan, penciptaan token tanpa batas

Pelacakan di blockchain menunjukkan bahwa peretas mengirimkan pesan palsu melalui dispatchIncoming, dan berhasil mengarahkannya ke TokenGateway.onAccept. Sistem seharusnya memverifikasi keaslian pesan ini berdasarkan status di jaringan Polkadot, tetapi mekanisme verifikasi mencatat nilai janji sebagai “nol semua”, yang berarti proses verifikasi benar-benar dilewati atau tidak ada sama sekali, sehingga sistem salah menganggap pesan palsu ini sebagai instruksi yang sah.

Pesan yang diterima kemudian menjalankan fungsi changeAdmin pada kontrak token jembatan Polkadot, mengalihkan hak administrator ke alamat peretas. Setelah mendapatkan hak pengelolaan, peretas menciptakan 1 miliar token DOT dalam satu transaksi, dan melalui Odos Router V3, memasukkan token tersebut ke dalam kolam perdagangan DOT-ETH di Uniswap V4. Setelah melakukan beberapa kali pertukaran dengan harga yang sedikit berbeda, akhirnya mereka menarik sekitar 108,2 ETH.

“Kurangnya likuiditas” malah menjadi pelindung

Dalam pasar keuangan, “kurangnya likuiditas” biasanya menjadi masalah utama bagi para whale besar, tetapi ironisnya, kekurangan likuiditas kali ini justru menjadi pelindung tak kasat mata, secara signifikan membatasi keuntungan peretas.

Karena kedalaman likuiditas DOT di Ethereum sangat terbatas, mereka tidak mampu menyerap 1 miliar token yang tiba-tiba muncul ini. Saat peretas buru-buru menjual untuk mencairkan, harga mereka jatuh tajam, menyebabkan harga per token bahkan tidak mencapai 1 sen.

Jika terjadi di jembatan yang memiliki likuiditas lebih dalam atau aset yang bernilai lebih tinggi, celah yang sama bisa menyebabkan kerugian puluhan kali lipat. Saat artikel ini ditulis, harga DOT sekitar 1,17 dolar AS, turun 5% dalam 24 jam terakhir.

Peristiwa ini kembali menunjukkan bahwa: meskipun peretas memiliki hak “menciptakan token tanpa batas”, keberhasilan dalam arbitrase tergantung pada likuiditas pasar dan kedalaman transaksi. Organisasi keamanan blockchain terkenal CertiK kemudian mengonfirmasi kejadian serangan ini, dan menyatakan bahwa peretas memperoleh keuntungan sekitar 23,7 ribu dolar AS melalui penciptaan dan penjualan token jembatan.

Hingga saat ini, Hyperbridge belum mengeluarkan komentar resmi mengenai kejadian peretasan ini.

Sumber gambar: X/@CertiKAlert

• Artikel ini disusun kembali dengan izin dari: 《BlockC》
• Judul asli: 《Serangan Terbodoh? Peretas Ciptakan 10 Miliar Dolar $DOT, Hanya Curi 23 Ribu Dolar Karena “Alasan Ini”》
• Penulis asli: BlockGirl MEL