在黄油网络跨链桥遭到重大攻击后,地图协议的原生代币 MAPO 周三暴跌约 96%。此次攻击导致未经授权铸造了千万亿个 MAPO 代币,极大地稀释了合法供应量,并在数小时内侵蚀了其市场价值。
根据 CoinGecko 的数据,MAPO 的价值从 0.003 美元左右下跌至 0.0001 美元。安全公司 Blockaid 报告称,攻击者利用新的外部账户 (EOA) 将近 10 亿新铸造的代币转储到 Uniswap 流动性池中。这一行动从矿池中耗尽了大约 52 ETH(价值约 180,000 美元)。攻击者保留了对近万亿铸造代币的控制权,对其他流动性池和潜在的交易所上市构成持续威胁。
在铸造了 1000 万亿个 MAPO 代币后,有 10 亿个 MAPO 代币被发送到 Uniswap。来源:Etherscan
Blockaid 的分析表明,该漏洞是一个经典的 Solidity 合约漏洞,不涉及被盗的私钥或受损的轻客户端。攻击者首先发送一条合法的、经过签名的预言机消息。随后,部署了恶意合约,并发送了修改后的“重试”消息(哈希值相同但内容虚假)。跨链桥验证过程失败,验证欺诈消息并执行海量代币铸造。
作为回应,Map Protocol 团队确认该错误存在于 Solidity 合约层中。他们已暂停主网并开始迁移过程,同时调查仍在继续。该项目宣布计划部署新的合约地址,并在适当的时候进行资产快照。该团队表示:“攻击者控制的地址持有的任何剩余代币将完全失效,并且不会包含在任何未来的快照或转换过程中。”
运营受损桥的 Butter Network 表示已暂停其 ButterSwap 服务,但保证用户资金不会面临风险。
此事件是最近几周令人担忧的跨链桥漏洞利用趋势的一部分。 5 月份,至少有 18 个 DeFi 和区块链协议受到损害,包括 THORChain、Verus Protocol 的以太坊桥和 Transit Finance 等。
相关事件:在另一起事件中,TON-TAC 资产桥于周四发布了一份事后分析报告,详细介绍了 5 月 11 日发生的价值 268 万美元的漏洞。该漏洞归因于排序器软件中缺少验证,该软件接受了伪造的 TON 钱包。恢复工作保护了大约 80% 的受影响资产,但桥梁仍处于暂停状态,以进行独立审计和恢复流动性。