Hyperbridge menghabiskan tiga hari terakhir memberi tahu pasar bahwa kerusakan akibat kerugian pada 13 April dapat dikelola. Namun dalam pembaruan pemulihannya hari ini, 16 April, terungkap bahwa estimasi kerugian awal, yang dihitung sebesar $237.000, sebenarnya sekitar $2,5 juta.
Rekalkulasi hampir 10 kali lipat tersebut telah meningkatkan tingkat keseriusan eksploitasi ini beberapa level, diperparah oleh fakta bahwa ini adalah insiden multi-rantai tanpa lini masa pemulihan yang terlihat. Hal ini juga terjadi setelah lelucon April Mop Hyperbridge di mana mereka mengklaim telah diretas oleh Lazarus Group.
Bagaimana $237.000 menjadi $2,5 juta? Angka $237.000 yang beredar di sumber berita hanya didasarkan pada kerugian yang dapat diamati dari token Polkadot (DOT) yang dijembatani di Ethereum. Ternyata, itu hanyalah bagian yang paling terlihat dari serangan yang sudah berjalan selama hampir satu jam sebelum $237.000 tersebut menghilang.
Menurut postingan blog pembaruan pemulihan lengkap Hyperbridge, eksploitasi tersebut terjadi dalam dua fase. Fase pertama adalah ekstraksi diam-diam, memindahkan hampir 245 ETH dari kontrak TokenGateway terkait sebelum fase kedua dimulai.
Satu jam kemudian, pesan lintas-rantai palsu melewati logika verifikasi bukti Merkle Mountain Range milik Hyperbridge, sehingga memberikan peretas kontrol administratif atas kontrak token DOT yang dijembatani dan memungkinkan mereka untuk mencetak sekitar 1 miliar token DOT yang dijembatani, yang kemudian dibuang ke bursa terdesentralisasi lainnya.
Akar penyebab serangan yang dikonfirmasi, sebagaimana diidentifikasi oleh BlockSec Phalcon adalah pemeriksaan batas (bounds check) yang hilang dalam fungsi VerifyProof() pada kontrak Handler V1 Hyperbridge, yang ditulis lebih dari dua tahun lalu.
Angka awal $237.000 juga tidak memperhitungkan kerugian dari kolam insentif (incentive pools) yang berjalan di empat rantai EVM yang terdampak.
Setelah Hyperbridge mencatat semua aktivitas penyerang di Ethereum, Base, BNB Chain, dan Arbitrum, struktur dua fase dari serangan tersebut serta kerugian kolam terkait merevisi total awal menjadi sekitar $2,5 juta yang dinilai dalam ETH dan DOT pada saat peretasan.
Lelucon April Mop yang tidak bisa terlihat lebih buruk lagi jika diingat kembali Eksploitasi Hyperbridge terjadi tepat dua belas hari setelah Hyperbridge mengunggah lelucon April Mop yang mengklaim bahwa Lazarus Group dari Korea Utara telah mencuri $37 juta dari protokol tersebut. Pengumuman itu ditautkan ke postingan blog yang telah dihapus yang menjelaskan “Mengapa HyperBridge Tidak Bisa Diretas.”
Secara historis, Hyperbridge telah memposisikan dirinya sebagai lapisan interoperabilitas berbasis bukti yang menawarkan keamanan node penuh untuk jembatan lintas-rantai, yang merupakan mekanisme tepat yang digunakan peretasan 13 April untuk membobol masuk.
Dalam pembaruannya hari ini, tim Hyperbridge menanggapi hal itu secara langsung, tanpa ragu: "Apa yang diperjelas oleh eksploitasi ini, dengan biaya yang mahal, adalah bahwa logika verifikasi memerlukan audit yang lebih sering dan pengujian adversarial di setiap lapisan tumpukan (stack)."
Kapan pengguna Hyperbridge dapat mengharapkan kompensasi? Hyperbridge kini telah mengonfirmasi bahwa sebagian besar dana yang dicuri telah dilacak secara on-chain ke Binance, tetapi dikatakan bahwa mereka tidak akan mengungkapkan detail spesifik agar tidak mengganggu penyelidikan yang sedang berlangsung.
Protokol tersebut juga telah mengungkapkan apa yang akan terjadi jika pemulihan gagal. Jika pengguna yang terdampak tidak mendapatkan ganti rugi penuh melalui saluran lain, Hyperbridge berkomitmen pada alokasi terstruktur token BRIDGE untuk menutupi kerugian sisa.
Jadwal pencairan dan detail valuasi akan diungkapkan pada 13 April 2027, satu tahun setelah eksploitasi tersebut.
Operasi Token Gateway akan tetap dihentikan hingga tiga kondisi terpenuhi: kerentanan telah ditambal sepenuhnya, tambalan tersebut telah diaudit secara independen dengan laporan yang dipublikasikan, dan pengamanan tambahan telah beroperasi.
Intent Gateway Hyperbridge dan produk-produk yang dibangun di atasnya tidak terpengaruh oleh eksploitasi tersebut dan terus beroperasi secara normal.
Kartu kripto tanpa batas pengeluaran. Dapatkan cashback 3% dan pembayaran seluler instan. Klaim kartu Ether.fi Anda.