Hyperbridge 披露约 23.7 万美元安全事件,漏洞源于 Merkle 证明验证缺陷
区块链互操作协议 Hyperbridge 于 4 月 13 日披露一起与 DOT 相关的攻击事件,损失约 23.7 万美元。漏洞位于 HandlerV1 合约的 VerifyProof() 函数,根源为缺少对 leaf_index 的输入验证。
Hyperbridge 于 4 月 13 日公开披露一起安全事件。据披露信息,此次攻击与 DOT 相关,造成损失约 23.7 万美元(计价单位未明确)。
技术层面,漏洞存在于 HandlerV1 合约的 VerifyProof() 函数中,根本原因是该函数缺少必要的输入验证,具体表现为未对 leaf_index 参数进行校验,属于 Merkle 证明验证逻辑缺陷。由于原始披露信息存在截断,leaf_index 相关的完整漏洞细节目前不可用。
攻击发生的具体日期、损失的精确计价方式,以及漏洞当前是否已完成修复,均未在现有披露中明确说明。
解读
Merkle 证明验证中的 leaf_index 未校验问题,属于跨链桥和互操作协议中较为典型的输入验证疏漏。此类缺陷可能允许攻击者伪造或重放有效证明,绕过状态验证逻辑。由于 Hyperbridge 定位为互操作基础设施,此类漏洞的影响范围可能不局限于单一链。目前披露信息不完整,修复状态和完整攻击路径有待进一步确认。