在攻击者利用Butter Network跨链桥铸造大量未经授权的代币后,Map Protocol的原生代币MAPO已经崩溃了96%。
- 攻击者利用 Butter Network 桥铸造了千万亿未经授权的代币后,MAPO 暴跌 96%。
- Blockaid 表示,攻击者从 Uniswap 池中抽走了约 52 ETH,并在利用该漏洞后继续持有近万亿 MAPO 代币。
- TON TAC 已恢复在其价值 268 万美元的桥接攻击中损失的约 80% 的资产,但该协议仍因独立审计而暂停。
销售消耗了约 52 ETH,价值近 180,000 美元,而攻击者继续持有近万亿 MAPO 代币,这些代币仍可能威胁其他流动性池和交易市场。
CoinGecko 数据显示,由于该漏洞压垮了代币的合法流通供应,MAPO 在数小时内从约 0.003 美元跌至近 0.0001 美元。
Map Protocol 后来证实,该问题源于 Solidity 合约的实施,而不是密钥泄露或轻客户端基础设施出现故障。该项目表示,在调查仍在进行期间,它已暂停主网并开始迁移过程。
团队在后续声明中表示,新的合约地址和资产快照时间线将另行公布。根据该项目,由攻击者链接的钱包控制的代币将被排除在未来的转换事件之外,并在迁移过程中失效。
伪造重试消息触发未经授权的铸币
Blockaid 的进一步分析显示,攻击者首先提交了合法的 Oracle 多重签名消息,然后在目标地址部署恶意合约。随后,攻击者重新发送了一条看似相同的“重试”消息,尽管有效负载已被修改。根据 Blockaid 的说法,由于网桥验证了被操纵的重试请求是真实的,因此协议执行了未经授权的铸币,并将新创建的 MAPO 代币释放到流通中。
该公司表示,该漏洞与被盗私钥或破坏的加密验证无关。相反,Blockaid 将该事件描述为“涉及多个动态领域的经典 Solidity 漏洞。”
今年,与伪造或未经不当验证的消息相关的跨链桥漏洞在 DeFi 领域反复出现。本周早些时候,Verus 协议以太坊桥损失超过 1150 万美元,据称攻击者使用伪造的跨链转移指令从协议中窃取储备资产。
当时,Blockaid 将 Verus 事件与 2022 年的 Nomad Bridge 和 Wormhole 漏洞进行了比较,据报道,其中虚假传输有效负载欺骗协议释放资金。 ExVul 后来表示,Verus 漏洞似乎涉及伪造的跨链导入有效负载,该有效负载绕过了桥接机制内部的验证检查。
GoPlus Security 单独表示,Verus 漏洞可能与跨链消息验证失败、提款绕过问题或访问控制弱点有关。
TON-TAC 桥找回 80% 的被盗资产
在跨链桥领域的其他领域,TON-TAC(作为开放网络的扩展而建立的桥)于周四发布了一份事后分析报告,涵盖了自 5 月 11 日以来的 268 万美元漏洞。
根据该项目,该事件源于测序仪软件内部缺少验证检查。据报道,系统接受了缺乏适当代码哈希和铸币者验证的伪造 TON 钱包,从而导致另一个未经授权的代币铸币。
TON-TAC 表示,恢复行动已保护了近 80% 的受影响资产。即便如此,在独立审计审查修补的排序器基础设施和流动性恢复过程期间,桥梁仍然处于暂停状态。
Map Protocol 作为一个全链网络运行,将比特币与以太坊、BNB Chain、Tron 和 Solana 等生态系统连接起来,实现涉及比特币、稳定币和代币化资产的跨链资产转移。
与此同时,针对互操作性基础设施的攻击在去中心化金融领域持续增多。除了 MAPO 漏洞外,THORChain、Transit Finance、TrustedVolumes、Echo Protocol、Ekubo 和 RetoSwap 等协议最近几周也报告了安全事件。