TechFlow rapporte que, le 13 avril, BlockSec Phalcon a révélé une vulnérabilité de relecture de preuve Merkle Mountain Range (MMR) dans le contrat HandlerV1 géré par Hyperbridge sur le réseau Ethereum, entraînant des pertes d’environ 242 000 USD. Cette vulnérabilité provient du fait que les preuves ne sont pas liées aux demandes correspondantes, ce qui permet à un attaquant de rejouer une preuve valide historique en l’associant à une nouvelle demande falsifiée afin d’effectuer des opérations telles que la modification des droits d’administrateur. Dans le cas concret observé, l’attaquant a modifié l’administrateur du jeton Polkadot (DOT), puis a exploité ces nouveaux privilèges pour émettre de nouveaux DOT et en tirer profit. Des transactions d’attaque ont été identifiées, notamment la modification de l’administrateur et l’émission supplémentaire du jeton DOT (perte d’environ 237 400 USD), la modification de l’administrateur et l’émission supplémentaire du jeton ARGN (perte d’environ 3 800 USD), ainsi que des retraits effectués depuis le nœud hôte. Cette vulnérabilité a été découverte par PhalconSecurity et analysée via PhalconExplorer.
Selon une information antérieure, le contrat de passerelle Hyperbridge a été victime d’une attaque au cours de laquelle un milliard de jetons DOT ont été émis sur Ethereum puis vendus.
