मैप प्रोटोकॉल टोकन MAPO, ब्रिज एक्सप्लॉइट के बाद 96% गिर जाता है, जिससे 1 क्वाड्रिलियन टोकन जारी किए गए

हेडलाइन: ब्रिज एक्सप्लॉइट के बाद 1 क्वाड्रिलियन टोकन मिंट होने से MAPO 96% ध्वस्त — Map Protocol ने मेननेट रोका और माइग्रेशन की तैयारी की Map Protocol के मूल टोकन MAPO में लगभग 96% की गिरावट आई जब हमलावरों ने Butter Network क्रॉस‑चेन ब्रिज में एक खामी का दुरुपयोग करके भारी मात्रा में अनधिकृत टोकन मिंट कर लिए। ब्लॉकचेन सुरक्षा फर्म Blockaid के अनुसार, हमलावर ने लगभग 1 क्वाड्रिलियन MAPO बनाए — जो वैध ~208 मिलियन सप्लाई से लगभग 4.8 मिलियन गुना अधिक है — और फिर लगभग 1 बिलियन MAPO को Uniswap लिक्विडिटी पूल में डंप कर दिया, जिससे बाज़ार ध्वस्त हो गया। मुख्य तथ्य - मिंट की गई रकम: ~1 क्वाड्रिलियन MAPO (≈ वैध ~208M सप्लाई का 4.8M×) - बाज़ार में डंप: ~1 बिलियन MAPO Uniswap पूल में - निकाली गई बिक्री आय: ~52 ETH (लगभग $180,000) - हमलावर के पास बची बैलेंस: लगभग 1 ट्रिलियन MAPO, जो अभी भी अन्य पूल और एक्सचेंज लिस्टिंग के लिए ख़तरा बन सकता है - मूल्य पर प्रभाव: CoinGecko के अनुसार MAPO कुछ घंटों में ~$0.003 से लगभग $0.0001 पर आ गया (≈96% गिरावट) - भेद्यता का स्रोत: Butter Bridge V3.1 के OmniServiceProxy लेयर में Solidity कॉन्ट्रैक्ट बग, न कि चोरी हुए कीज़ या टूटी हुई लाइट क्लाइंट वेरिफिकेशन एक्सप्लॉइट कैसे काम किया (संक्षिप्त तकनीकी विवरण) Blockaid की जांच से पता चलता है कि हमलावर ने पहले एक वैध oracle मल्टीसिग‑साइन संदेश सबमिट किया, फिर एक विशेष एड्रेस पर एक दुर्भावनापूर्ण कॉन्ट्रैक्ट डिप्लॉय किया। इसके बाद उन्होंने एक “retry” क्रॉस‑चेन संदेश दोबारा भेजा, जिसकी payload को बारीकी से बदला गया था। क्योंकि ब्रिज ने keccak256(abi.encodePacked(...)) का उपयोग करके कई dynamic‑bytes फ़ील्ड्स पर रिट्राई को प्रमाणित किया, concatenation के कारण सीमाएँ अस्पष्ट हो गईं (abi.encodePacked लंबाई प्रीफ़िक्स शामिल नहीं करता), जिससे एक कोलिज़न संभव हुई जिसने संशोधित रिट्राई को वैध जैसा दिखा दिया। ब्रिज ने संदेश स्वीकार कर लिया और अनधिकृत मिंट निष्पादित कर दिया। Blockaid ने ज़ोर देकर कहा कि यह एक क्लासिक Solidity एनकोडिंग भेद्यता थी, न कि समझौता किए गए प्राइवेट कीज़ या क्रिप्टोग्राफ़िक चेक। Map Protocol की प्रतिक्रिया Map Protocol ने पुष्टि की कि गलती Solidity कॉन्ट्रैक्ट इम्प्लीमेंटेशन में है और उसका लाइट क्लाइंट और oracle मल्टीसिग समझौता नहीं हुआ। टीम ने: - मेननेट ऑपरेशंस रोक दिए हैं और माइग्रेशन प्रक्रिया शुरू कर दी है - घोषणा की है कि नया कॉन्ट्रैक्ट एड्रेस और एसेट स्नैपशॉट टाइमलाइन अलग से प्रकाशित की जाएगी - यह कहा है कि हमलावर‑संलग्न वॉलेट्स में रखे टोकन भविष्य के conversion इवेंट्स से बाहर रखे जाएंगे और माइग्रेशन के दौरान अमान्य कर दिए जाएंगे विस्तृत परिप्रेक्ष्य: ब्रिज रिस्क अभी भी ऊँचे हैं क्रॉस‑चेन ब्रिज इस साल बार‑बार निशाना बने हैं। Blockaid और अन्य सुरक्षा फर्मों ने इस घटना की तुलना हालिया और पुरानी विफलताओं से की, जहाँ नकली या गलत तरह से वैध किए गए संदेशों ने अनधिकृत मिंट या ट्रांसफ़र करें को संभव बनाया — जिनमें Verus ब्रिज एक्सप्लॉइट (लगभग $11.5M) और 2022 के Nomad तथा Wormhole घटनाक्रम शामिल हैं। अन्य हालिया ब्रिज हमलों में मई में TON‑TAC का $2.68M एक्सप्लॉइट (प्रोजेक्ट ने लगभग 80% एसेट्स रिकवर कर लिए) और THORChain, Transit Finance, TrustedVolumes, Echo Protocol, Ekubo, और RetoSwap जैसे प्रोजेक्ट्स द्वारा रिपोर्ट किए गए सुरक्षा घटनाक्रम शामिल हैं। Map Protocol क्या करता है Map Protocol एक omnichain नेटवर्क है जिसका उद्देश्य Bitcoin को Ethereum, BNB Chain, Tron और Solana जैसे परितंत्रों से जोड़ना है, ताकि Bitcoin, स्टेबलकॉइन और टोकनाइज़्ड एसेट्स के क्रॉस‑चेन ट्रांसफ़र करें को सक्षम किया जा सके। यह घटना इंटरऑपरेबिलिटी इन्फ्रास्ट्रक्चर में निहित प्रणालीगत जोखिम को रेखांकित करती है, जहाँ message encoding, रिट्राई लॉजिक और वेलिडेशन के सूक्ष्म अंतर बड़े, तेज़ व्यवधान पैदा कर सकते हैं। आगे क्या देखना ज़रूरी है - Map Protocol की माइग्रेशन टाइमलाइन और नए कॉन्ट्रैक्ट एड्रेस की घोषणा - क्या एक्सचेंज और लिक्विडिटी प्रोवाइडर हमलावर‑नियंत्रित MAPO होल्डिंग्स को डीलिस्ट या ब्लैकलिस्ट करेंगे - Blockaid या स्वतंत्र ऑडिटर्स द्वारा भेद्यता के दायरे और समाधान के कदमों की पुष्टि करने वाले कोई अतिरिक्त फोरेंसिक विवरण यह मामला एक और याद दिलाता है कि क्रॉस‑चेन संदेश वेलिडेशन और सुरक्षित Solidity एनकोडिंग प्रैक्टिसेज़ ब्रिज सुरक्षा के लिए अत्यंत महत्वपूर्ण बनी हुई हैं।