Hyperbridge опубликовал обновлённое заявление по инциденту с атакой: уязвимость возникла из-за дефекта в логике проверки Merkle-доказательства.

По сообщению Foresight News, протокол межблочной совместимости Hyperbridge раскрыл детали недавней атаки на DOT, в результате которой было потеряно около 237 тысяч долларов. Корень уязвимости заключался в отсутствии проверки входных данных в функции VerifyProof() контракта HandlerV1 — не осуществлялась валидация leaf_index < leafCount, что позволяло злоумышленнику подделывать Merkle-доказательства. Воспользовавшись этим, атакующий получил права администратора контракта моста DOT на Ethereum, после чего выпустил дополнительно 1 миллиард токенов DOT (что превышает легальный объём обращения примерно в 2 800 раз — около 356 тысяч токенов), а затем реализовал их на децентрализованных биржах. Hyperbridge сообщил, что в настоящее время совместно с партнёрами по безопасности отслеживает средства, и кроссчейн-функционал останется приостановленным до окончания расследования.