Map Protocol万亿代币铸造漏洞:代币暴跌96%创历史

先说几个关键信息：Map Protocol 遭遇了一次极为恶劣的攻击。攻击者通过漏洞铸造了数量惊人的万亿枚代币，随后将其中10亿枚MAPO兑换成约11.15万美元的ETH，并转移到了Tornado Cash。这一连串操作直接导致MAPO价格暴跌96%，几乎归零，流通市值大幅缩水，投资者的损失相当惨重，项目的信任基础也遭到了严重动摇。

这起事件的根源在于，攻击者成功诱骗了Butter Network跨链桥，使其铸造了比MAPO合法供应量多出数百万倍的天量代币。

具体来看，Map Protocol的原生代币MAPO在周三因Butter Network跨链桥的一个漏洞，价格在短时间内崩跌96%。这个漏洞让攻击者得以凭空铸造出一千万亿枚MAPO代币。

根据CoinGecko的数据，这批恶意铸造的代币数量，比合法供应量大了数万倍。后果是，MAPO的价值在短短几个小时内就从约0.003美元狂泻至0.0001美元，几乎归零。

Blockaid在周三的报道中指出，攻击者利用一个全新的外部账户（EOA），倾倒了大约10亿枚MAPO代币，并从Uniswap的流动性池中抽走了约52枚ETH（价值约18万美元）。更令人担忧的是，他们手中还保留着近万亿枚代币，这些代币对其他流动性池以及潜在的交易所构成了持续的威胁。

值得注意的是，这起最新的漏洞利用事件，只是过去一个月内至少18个DeFi和区块链协议遭受攻击的缩影。THORChain、Verus Protocol的以太坊桥、Transit Finance、TrustedVolumes、Ekubo、Echo Protocol和RetoSwap都未能幸免。

Map Protocol方面表示，漏洞出在Solidity合约层。目前，项目方已暂停主网并启动了迁移，调查仍在进行中。而Butter Network则宣布暂停了ButterSwap，并补充说明用户资金并未受到波及。

在最新发布的帖子中，Map Protocol项目表示将公布一个新的合约地址，并选择合适的时机进行资产快照。同时，他们也明确表态：“任何由攻击者控制的地址所持有的剩余代币都将被完全作废，不会纳入未来的任何快照或转换流程。”

在铸造了一千万亿枚代币后，有十亿枚MAPO被发送至Uniswap。（来源：Etherscan）

攻击者具体是如何操作的？他们先是发送了一条由合法预言机多重签名认证的消息，随后在特定地址部署了一个恶意合约。接着，又重发了一条经过修改的“重试”消息。这条消息的哈希值看似与原消息一致，但实际上却是伪造的。跨链桥验证了这条消息的有效性，并乖乖地执行了大规模代币铸造。

没有私钥被盗，也没有轻客户端被攻破。Blockaid一针见血地指出：这是一起典型的Solidity漏洞，涉及多个动态字段。

回顾一下，Map Protocol是一个全链网络，旨在不同区块链之间交换比特币、稳定币和代币化资产，将比特币主网与以太坊、BNB Chain、Tron和Solana等生态系统连接起来。

TON-TAC 发布针对 270 万美元漏洞的事后分析报告

与此同时，作为The Open Network扩展而设计的跨链桥TON-TAC资产桥，也在周四发布了一篇事后分析报告，详细说明了一个月前（5月11日）发生的价值268万美元的漏洞攻击事件。

这件事进一步加剧了过去几周内跨链桥漏洞攻击的浪潮，其中还包括Verus-Ethereum桥、Echo桥以及Butter Network的跨链桥。

报告显示，这起“安全事件”的根源在于序列器软件中缺失了验证机制。该软件接受了一个伪造的wallet，这个wallet缺乏正确的代码哈希和铸造者检查，从而导致了另一枚未经授权的代币被铸造。

好消息是，恢复工作已找回了约80%的受影响资产。但坏消息是，该桥目前仍处于暂停状态，以待对已经完成修复的序列器进行独立审计。