Смарт-контракт Ethereum Hyperbridge HandlerV1 подвергся повторной атаке с использованием доказательства MMR, ущерб составил около 242k долларов США

Gate News: сообщение от 13 апреля. По данным мониторинга BlockSec, смарт-контракт Hyperbridge HandlerV1 в сети Ethereum подвергся атаке с повторным использованием MMR-доказательств, в результате потери составили около 24,2 тысячи долларов. Уязвимость позволяет атакующим повторно использовать ранее принятые доказательства и сопоставлять их с вновь сформированными запросами, чтобы выполнять привилегированные операции (например, изменение прав администратора) и получать выгоду. В HandlerV1 защита от повтора проверяет лишь то, что обязательство запроса (request.hash()) ранее не использовалось, однако в процессе проверки доказательств отправленная полезная нагрузка запроса не связывается с уже проверенным доказательством. Из-за этого разрыва действительные исторические доказательства можно повторно использовать с различными вредоносными запросами.