Bumagsak ng higit 96% ang MAPO matapos ang isang hash collision exploit sa Butter Bridge na nagpapahintulot sa isang attacker na mag-mint ng halos isang quadrillion na token. Sinuspinde na ng MAP Protocol ang pangangalakal at nagpaplano ng bagong kontrata.
Hindi dahan-dahang bumagsak ang token. Bumaba ng mahigit 96% ang MAPO sa loob ng ilang oras matapos makahanap ang isang attacker ng paraan upang kumbinsihin ang Butter Bridge na naproseso na nito ang isang lehitimong transaksyon.
Ipinahiwatig ng security firm na Blockaid ang insidente sa X, na tinukoy ang target bilang Butter Bridge V3.1, o kilala bilang OmniServiceProxy. Ayon sa Blockaid sa X, niloko ng attacker ang bridge sa parehong Ethereum at BSC, na nag-mint ng humigit-kumulang isang quadrillion na MAPO token nang direkta sa isang bagong wallet. Ang lehitimong circulating supply ay nasa humigit-kumulang 208 milyon. Ang matematikang iyon lamang ay nagpapaliwanag sa karamihan ng galaw ng presyo.
Ang Bug na Walang Nakapansin Hanggang Huli Na
Ang ugat na dahilan ay hindi isang paglabas ng susi. Hindi ito problema sa sariling kontrata ng MAPO. Ayon sa teknikal na breakdown ng Blockaid sa X, ang bridge ay nag-authenticate ng cross-chain message retries gamit ang keccak256(abi.encodePacked(…)) sa apat na magkakasunod na dynamic-bytes field. Ang problema: ang abi.encodePacked ay hindi nagdaragdag ng length prefixes. Ang magkakaibang alokasyon ng field ay maaaring makagawa ng eksaktong parehong byte string, at samakatuwid ay eksaktong parehong hash.
Nagtanim ang attacker ng isang tunay, oracle-signed na MAP-to-ETH na mensahe na nakaturo sa isang precomputed address. Wala pang kontrata doon. Itinago ng bridge ang isang “NotContract” retry. Pagkatapos ay na-deploy ang exploit contract sa eksaktong address na iyon.
Ang sumunod ay isang tatlong-hakbang na pagkakasunod-sunod. Ayon sa Blockaid sa X, tinawag ng attacker ang retryMessageIn gamit ang muling inayos na mga hangganan ng field na naka-pack sa magkaparehong 601-byte na string. Parehong hash, parehong guard pass. Nag-mint ang bridge ng 10^15 MAPO diretso sa wallet ng attacker.
Ang mga cross-chain bridge exploit na nagmi-mint ng hindi awtorisadong token ay naging paulit-ulit na pattern sa DeFi infrastructure ngayong taon.
52 ETH ang Nawala. Halos Isang Quadrillion na Token ang Nariyan Pa Rin
Mabilis kumilos ang attacker. Kinumpirma ng Blockaid sa X na 52.21 ETH, humigit-kumulang $180,000, ang na-drain mula sa Uniswap V4 ETH/MAPO pool matapos ilagay dito ang humigit-kumulang 1 bilyong MAPO. Malaki ang numerong iyon. Mas mababa pa rin ito sa 0.001% ng hawak ng attacker.
Humigit-kumulang 999.999 bilyong MAPO ang nanatili sa wallet ng attacker sa oras ng pag-uulat, ayon sa Blockaid. Ang exploit transaction ay makikita sa Etherscan sa 0x31e56b4737649e0acdb0ebb4eca44d16aeca25f60c022cbde85f092bde27664a. Ang address ng attacker ay 0x40592025392BD7d7463711c6E82Ed34241B64279 at ang exploit contract ay nasa 0x2475396A308861559EF30dc46aad6136367a1C30.
Kinumpirma ng MAP Protocol ang kamalayan sa X sa parehong araw. Sinabi ng MAP Protocol sa X na alam ng team ang tungkol dito at nakikipag-ugnayan sa mga external security partners para sa imbestigasyon at containment. Ang bridge sa pagitan ng MAPO ERC-20 at mainnet MAPO ay na-pause.
Gumalaw ang MAP Protocol para I-invalidate ang mga Hawak ng Attacker
Pagsapit ng susunod na araw, lumipat ang tugon mula sa containment patungo sa structural overhaul. Inanunsyo ng MAP Protocol sa X ang pagsuspinde ng lahat ng conversion services sa pagitan ng MAPO token sa orihinal na ERC20 contract address na 0x66d79b8f60ec93bfce0b56f5ac14a2714e509a99 sa parehong BSC at Ethereum networks at MAPO sa MAP Protocol mainnet.
Naabisuhan na ang lahat ng kaugnay na exchange na i-disable ang mga deposito at withdrawal para sa mga token na ito, ayon sa team. Binalaan ang mga user na iwasan ang pangangalakal ng MAPO na nauugnay sa orihinal na kontrata sa mga decentralized platform, kabilang ang Uniswap at PancakeSwap.
Ilalathala ang isang bagong contract address. Kukunin ang isang snapshot sa petsa na itinuturing ng proyekto na angkop. Ang anumang token na hawak pa rin ng mga address na kontrolado ng attacker, na sa puntong ito ay umaabot sa daan-daang bilyon, ay ganap na aalisin sa anumang conversion o future snapshot.
Binanggit din ng MAP Protocol sa X, sa isang follow-up na kumikilala sa pagsubaybay ng PeckShield sa insidente, na ang team ay nakikipag-ugnayan sa mga exchange at partners mula pa noong breach. Inihahanda ang isang opisyal na pahayag na sumasaklaw sa mga susunod na hakbang, detalye ng snapshot, at ang bagong kontrata.
Ang mga pagkabigo ng bridge ay nagdulot ng hindi proporsyonal na bahagi ng pagkalugi sa crypto noong 2026, na ang mga attacker ay patuloy na tinatarget ang mga intersection kung saan nag-o-overlap ang automation at tiwala.
Pinayuhan ng proyekto ang mga user na umasa lamang sa mga opisyal na channel. Ang hindi opisyal na gabay, babala ng team, ay dapat na ganap na balewalain.
Mag-iwan ng Tugon