MAPO kelderde met meer dan 96% nadat een exploit van hashcollisie op Butter Bridge een aanvaller bijna 1 biljard tokens liet minten. MAP Protocol heeft nu de handel opgeschort en plant een nieuw contract.
De token lekte niet langzaam weg. MAPO daalde in een paar uur tijd met meer dan 96% nadat een aanvaller een manier vond om de Butter Bridge ervan te overtuigen dat deze al een legitieme transactie had verwerkt.
Beveiligingsbedrijf Blockaid meldde het incident op X en identificeerde het doelwit als Butter Bridge V3.1, ook wel OmniServiceProxy genoemd. Volgens Blockaid op X, heeft de aanvaller de bridge op zowel Ethereum als BSC misleid, waardoor ongeveer 1 biljard MAPO-tokens direct naar een nieuw wallet werden gemint. De legitieme circulerende voorraad was ongeveer 208 miljoen. Alleen al die wiskunde verklaart het grootste deel van de prijsactie.
De bug die niemand opmerkte tot het te laat was
De hoofdoorzaak was geen lekkage van sleutels. Het was geen probleem met MAPO’s eigen contract. Volgens Blockaid’s technische uitleg op X, authenticeerde de bridge cross-chain berichtherhalingen met behulp van keccak256(abi.encodePacked(…)) over vier opeenvolgende dynamische-bytevelden. Het probleem: abi.encodePacked voegt geen lengteprefixen toe. Verschillende veldtoewijzingen kunnen exact dezelfde bytestring opleveren, en dus exact dezelfde hash.
De aanvaller plaatste een echt, door een oracle ondertekend MAP-naar-ETH-bericht dat naar een voorberekend adres verwees. Er bestond nog geen contract op dat adres. De bridge cachede een “NotContract”-herhaling. Vervolgens werd het exploit-contract op dat exacte adres geïmplementeerd.
Wat volgde was een driestapsreeks. Volgens Blockaid op X, riep de aanvaller retryMessageIn aan met herschikte veldgrenzen die inpakten tot de identieke 601-byte string. Dezelfde hash, dezelfde wachtpassage. De bridge mintte 10^15 MAPO rechtstreeks naar het wallet van de aanvaller.
Exploits van cross-chain bridges die niet-geautoriseerde tokens minten zijn dit jaar een terugkerend patroon geworden in de DeFi-infrastructuur.
52 ETH weg. Bijna een biljard tokens nog steeds aanwezig
De aanvaller handelde snel. Blockaid bevestigde op X dat 52,21 ETH, ongeveer $180.000, uit de Uniswap V4 ETH/MAPO-pool werd gehaald nadat ongeveer 1 miljard MAPO erin was gedumpt. Dat klinkt als een groot getal. Het is ook minder dan 0,001% van wat de aanvaller bezat.
Volgens Blockaid bleef er op het moment van rapporteren ongeveer 999.999 miljard MAPO in het wallet van de aanvaller. De exploit-transactie is zichtbaar op Etherscan op 0x31e56b4737649e0acdb0ebb4eca44d16aeca25f60c022cbde85f092bde27664a. Het adres van de aanvaller is 0x40592025392BD7d7463711c6E82Ed34241B64279 en het exploit-contract bevindt zich op 0x2475396A308861559EF30dc46aad6136367a1C30.
MAP Protocol bevestigde dezelfde dag op X dat het op de hoogte was. MAP Protocol zei op X dat het team op de hoogte was en samenwerkte met externe beveiligingspartners voor onderzoek en insluiting. De brug tussen MAPO ERC-20 en mainnet MAPO werd gepauzeerd.
MAP Protocol stapt over tot ongeldigverklaring van bezittingen aanvaller
De volgende dag verschoof de reactie van insluiting naar structurele herziening. MAP Protocol kondigde op X de opschorting aan van alle conversiediensten tussen MAPO-tokens op het originele ERC20-contractadres 0x66d79b8f60ec93bfce0b56f5ac14a2714e509a99 op zowel BSC- als Ethereum-netwerken en MAPO op het MAP Protocol mainnet.
Alle relevante exchanges waren op de hoogte gesteld om stortingen en opnames voor deze tokens uit te schakelen, aldus het team. Gebruikers werden gewaarschuwd om handel in MAPO die aan het originele contract was gekoppeld, op gedecentraliseerde platforms, waaronder Uniswap en PancakeSwap, te vermijden.
Er zal een nieuw contractadres worden gepubliceerd. Er zal een snapshot worden genomen op een datum die het project geschikt acht. Alle tokens die nog worden aangehouden door door de aanvaller gecontroleerde adressen, die op dit moment in de honderden miljarden lopen, zullen volledig worden uitgesloten van conversie of toekomstige snapshot.
MAP Protocol merkte ook op X op, in een vervolgbericht waarin PeckShield’s volgen van het incident werd erkend, dat het team sinds de inbreuk samenwerkte met exchanges en partners. Er werd een officiële verklaring voorbereid met betrekking tot de volgende stappen, snapshotdetails en het nieuwe contract.
Brugstoringen hebben in 2026 een onevenredig groot deel van de cryptoverliezen veroorzaakt, waarbij aanvallers consequent de raakvlakken aanvallen waar automatisering en vertrouwen elkaar overlappen.
Gebruikers zijn door het project geadviseerd alleen op officiële kanalen te vertrouwen. Niet-officiële richtlijnen, waarschuwde het team, moeten volledig worden genegeerd.
Geef een reactie