Kasus perampokan paling gila di dunia kripto? Peretas mencetak 1 miliar dolar DOT, tapi hanya mencuri 230 ribu dolar

Peretas memanfaatkan celah jembatan lintas rantai Hyperbridge, menciptakan 10 miliar token DOT secara palsu, meskipun nilai nominalnya mencapai 1,19 miliar dolar AS, namun karena kurangnya likuiditas pasar, akhirnya hanya dapat mencairkan sekitar 237.000 dolar AS.

Kejadian serangan cryptocurrency terus bermunculan, tetapi kasus seperti ini “berani mengambil risiko, mendapatkan sedikit uang” memang jarang terjadi. Hari ini (13), sedikit sebelumnya, seorang peretas memanfaatkan celah pada jembatan lintas rantai Hyperbridge, menciptakan secara palsu 10 miliar token Polkadot (DOT) di atas Ethereum, dengan nilai nominal mencapai 1,19 miliar dolar AS. Namun saat dia mencoba menjual token tersebut, karena kekurangan likuiditas yang parah, akhirnya hanya mendapatkan sekitar 23.7 ribu dolar AS dalam bentuk Ethereum.

Perlu diperjelas bahwa target serangan peretas adalah “smart contract jembatan lintas rantai”, sehingga token DOT asli di jaringan utama Polkadot tidak terkena dampak. Penyebab utama celah ini adalah kontrak EthereumHost Hyperbridge yang gagal memverifikasi keaslian pesan secara benar sebelum mengirim pesan lintas rantai ke TokenGateway.

Sumber gambar: X/@OnchainLens

Jembatan lintas rantai selalu menjadi bagian paling rapuh dalam arsitektur blockchain, karena mereka memiliki hak pengelolaan kontrak token. Jika mekanisme verifikasi mengalami celah, peretas dapat dengan mudah memperoleh kekuasaan untuk menciptakan token tanpa batas.

Metode serangan: memalsukan pesan, merebut hak pengelolaan, penciptaan token tanpa batas

Pelacakan di blockchain menunjukkan bahwa peretas mengirimkan pesan palsu melalui dispatchIncoming, dan berhasil mengarahkannya ke TokenGateway.onAccept. Sistem seharusnya memverifikasi keaslian pesan ini berdasarkan status di jaringan Polkadot, tetapi mekanisme verifikasi mencatat nilai janji sebagai “nol semua”, yang berarti proses verifikasi benar-benar dilewati atau tidak ada sama sekali, sehingga sistem salah menganggap pesan palsu ini sebagai instruksi yang sah.

Pesan yang diterima kemudian menjalankan fungsi changeAdmin pada kontrak token jembatan Polkadot, mengalihkan hak administrator ke alamat peretas. Setelah mendapatkan hak pengelolaan, peretas menciptakan 1 miliar token DOT dalam satu transaksi, dan melalui Odos Router V3, memasukkan token tersebut ke dalam kolam perdagangan DOT-ETH di Uniswap V4. Setelah melakukan beberapa kali pertukaran dengan harga yang sedikit berbeda, akhirnya mereka menarik sekitar 108,2 ETH.

“Kurangnya likuiditas” malah menjadi pelindung

Dalam pasar keuangan, “kurangnya likuiditas” biasanya menjadi masalah utama bagi para whale besar, tetapi ironisnya, kekurangan likuiditas kali ini justru menjadi pelindung tak kasat mata, secara signifikan membatasi keuntungan peretas.

Karena kedalaman likuiditas DOT di Ethereum sangat terbatas, mereka tidak mampu menyerap 10 miliar token yang diproduksi secara palsu ini. Saat peretas buru-buru menjual untuk mencairkan, harga yang jatuh parah menyebabkan harga nyata per token bahkan kurang dari satu sen dolar AS.

Jika celah ini terjadi di jembatan yang memiliki likuiditas lebih dalam atau aset yang bernilai lebih tinggi, kerugian yang diakibatkan bisa puluhan kali lipat. Hingga saat penulisan, harga transaksi DOT sekitar 1,17 dolar AS, turun 5% dalam 24 jam terakhir.

Peristiwa ini kembali menunjukkan bahwa: meskipun peretas memiliki hak “menciptakan token tanpa batas”, keberhasilan dalam arbitrase tetap bergantung pada likuiditas pasar dan kedalaman transaksi. Organisasi keamanan blockchain terkenal CertiK kemudian mengonfirmasi kejadian serangan ini, dan menyatakan bahwa peretas memperoleh keuntungan sekitar 237.000 dolar AS melalui penciptaan dan penjualan token jembatan.

Hingga saat ini, pihak resmi Hyperbridge belum mengeluarkan komentar publik mengenai kejadian peretasan ini.

Sumber gambar: X/@CertiKAlert

• Artikel ini disadur dengan izin dari: 《區塊客》
• Judul asli: 《最瞎劫案？駭客鑄造 10 億美元 $DOT，因「這理由」只偷到 23 萬美元》
• Penulis asli:區塊妹 MEL