A ponte cross-chain Hyperbridge foi atacada, e o atacante cunhou 1 000 000 000 de tokens DOT para fazer pressão vendedora no mercado

A CertiK, uma entidade de segurança, detetou a 13 de abril que o contrato de gateway de ponte cross-chain da Hyperbridge foi alvo de um ataque explorando uma vulnerabilidade. O atacante utilizou mensagens falsificadas para contornar a validação do contrato, conseguindo alterar fraudulentamente as permissões de administrador do contrato de tokens DOT ponteado para a ponte do Polkadot e, de seguida, cunhou ilegalmente 1.000 milhões de DOT ponteado e vendeu-os integralmente numa única transação; no final, o lucro foi apenas de 108,2 ETH, o que equivale a 237.000 dólares.

Mecanismo do ataque: como as mensagens cross-chain falsificadas obtêm controlo de administrador

(Fonte: CertiK)

A Hyperbridge é um protocolo de gateway cross-chain implantado na Ethereum, que permite que ativos de redes como o Polkadot circulem na Ethereum sob a forma de tokens ponteados. De acordo com a monitorização da CertiK, o atacante identificou uma falha na validação de mensagens no contrato e, ao construir mensagens cross-chain falsificadas que contornam as verificações de legitimidade que deveriam ser realizadas, conseguiu obter com sucesso as permissões de controlo de administrador do contrato do token DOT ponteado.

Após obter as permissões de administrador, o atacante executou operações de cunhagem sem autorização, criando de forma artificial 1.000 milhões de DOT ponteado; de seguida, vendeu-os integralmente numa única transação. Todo o processo — mensagens falsificadas, alteração do administrador, cunhagem e venda em liquidação (clearance) — foi concluído on-chain. A entidade de rastreio on-chain Lookonchain confirmou que esta transação acabou por converter apenas 108,2 ETH em numerário.

Por que razão 1.000 milhões de tokens só deram 237.000 dólares: a matemática cruel das armadilhas de liquidez

O detalhe mais irónico neste ataque é o enorme desfasamento entre 1.000 milhões de tokens e 237.000 dólares. Os dados da Lookonchain mostram que, antes de o atacante vender, a cotação do DOT ponteado rondava 1,22 dólares; em teoria, o espaço máximo de arbitragem ultrapassava 1,2 mil milhões de dólares. No entanto, a pressão de venda massiva de 1.000 milhões de tokens excedeu instantaneamente a profundidade de liquidez absorvível na cadeia. O preço da moeda caiu de 1,22 dólares para perto de zero, e a grande maioria dos tokens emitidos adicionalmente ficou praticamente sem valor.

Isto é uma «armadilha de liquidez» típica: o atacante pode criar tokens, mas não consegue criar compradores.

Resumo dos dados-chave deste ataque

Contrato afetado: o contrato de gateway cross-chain da Hyperbridge na cadeia Ethereum

Técnica do ataque: falsificação de mensagens cross-chain e alteração das permissões de controlo do administrador do contrato do token DOT ponteado

Quantidade cunhada ilegalmente: 1.000 milhões de tokens DOT ponteado na Ethereum

Preço do token antes da venda: cerca de 1,22 dólares; após a venda: perto de zero

Lucro real do atacante: 108,2 ETH (cerca de 237.000 dólares)

Arbitragem teórica máxima: se a liquidez fosse suficiente, em teoria poderia exceder 1,2 mil milhões de dólares

Âmbito afetado: DOT ponteado na Ethereum; a cadeia nativa do Polkadot não é afetada diretamente

Distinção importante: o limite de segurança entre ativos ponteados e o DOT nativo do Polkadot

O objetivo deste ataque foi o contrato de tokens DOT ponteado, implantado na Ethereum. O mecanismo de consenso da cadeia principal nativa do Polkadot e do respetivo token DOT nativo não foi atacado diretamente nem afetado neste evento.

As pontes cross-chain são, há muito tempo, um dos elos com maior concentração de riscos de segurança no ecossistema DeFi. Os contratos inteligentes dos ativos ponteados são normalmente implantados de forma independente; os seus padrões de auditoria de segurança e mecanismos de monitorização podem diferir da cadeia nativa. Isso permite que o atacante, sem tocar na cadeia principal, explore separadamente falhas nos contratos de ponte para causar danos. Os utilizadores que detêm ativos ponteados devem compreender claramente que o risco que assumem não provém apenas da cadeia principal subjacente, mas também da segurança dos contratos da própria infraestrutura de ponte.

Perguntas frequentes

O que é a Hyperbridge? Qual é a relação com o Polkadot?

A Hyperbridge é um protocolo de gateway cross-chain implantado na Ethereum, que permite que ativos de redes como o Polkadot circulem na Ethereum na forma de tokens ponteados. É uma das infraestruturas de base que liga o ecossistema do Polkadot e da Ethereum, mas a nível de arquitetura técnica é independente do funcionamento da cadeia principal nativa do Polkadot.

O atacante cunhou 1.000 milhões de DOT; por que razão, no final, só ganhou 237.000 dólares?

Quando o atacante vendeu 1.000 milhões de DOT ponteado, a profundidade de liquidez na cadeia Ethereum era muito insuficiente para absorver uma ordem de venda tão massiva. A pressão de venda fez o preço do token cair de 1,22 dólares para perto de zero instantaneamente, levando a que a esmagadora maioria dos tokens cunhados mal conseguisse ser convertida em dinheiro. No final, apenas foi possível vender uma proporção muito pequena primeiro, antes de o mercado entrar em colapso, arrecadando cerca de 108,2 ETH.

Este ataque afetou os detentores de DOT na cadeia nativa do Polkadot?

De acordo com a análise da CertiK, o alvo do ataque foi o contrato de DOT ponteado na Ethereum; a cadeia principal nativa do Polkadot e o token DOT nativo não foram afetados diretamente. Os investidores que detêm DOT da cadeia principal do Polkadot enfrentam um impacto indireto por sentimento de mercado, e não um risco direto de segurança de ativos de base.