Map Protocol 代幣 MAPO 在橋樑遭攻擊後鑄造 1 億億枚代幣，價格暴跌 96%

頭條：MAPO 在橋樑遭攻擊後暴跌 96%，攻擊者鑄造 1 億億枚代幣 — Map Protocol 暫停主網並準備遷移 Map Protocol 的原生代幣 MAPO 在攻擊者利用 Butter Network 跨鏈橋的漏洞鑄造大量未經授權的代幣後，價格急跌約 96%。根據區塊鏈安全公司 Blockaid 的報告，攻擊者創建了約 1 億億枚 MAPO（約為合法供應量 2.08 億枚的 480 萬倍），並在 Uniswap 流動性池中拋售了約 10 億枚 MAPO，導致市場崩盤。 關鍵事實 - 鑄造數量：約 1 億億枚 MAPO（約為合法供應量 2.08 億枚的 480 萬倍） - 抛售至市場：約 10 億枚 MAPO 注入 Uniswap 池 - 攻擊者套現收益：約 52 ETH（約 18 萬美元） - 攻擊者剩餘餘額：接近 1 兆枚 MAPO，仍可能威脅其他流動性池與交易所上架 - 價格影響：根據 CoinGecko 數據，MAPO 在數小時內從約 0.003 美元跌至近 0.0001 美元（跌幅約 96%） - 漏洞來源：Butter Bridge V3.1 OmniServiceProxy 層的 Solidity 合約漏洞，非私鑰盜取或輕客戶端驗證失效 攻擊手法簡析（技術簡述） Blockaid 的調查顯示，攻擊者首先提交了一則由 Oracle 多簽簽署的合法訊息，然後在特定地址部署惡意合約，接著重新發送一條經過微妙修改的「重試」跨鏈訊息。由於橋樑使用 keccak256(abi.encodePacked(...)) 對多個動態位元欄位進行重試驗證，而 abi.encodePacked 不包含長度前綴，導致位元串連接產生邊界模糊，進而產生碰撞，使被操縱的重試訊息看起來合法。橋樑因此接受該訊息並執行未經授權的鑄造。Blockaid 強調，這是一起典型的 Solidity 編碼漏洞，並非私鑰遭竊或加密驗證失效。 Map Protocol 的回應 Map Protocol 確認問題源於 Solidity 合約實現，並表示其輕客戶端與 Oracle 多簽均未受損。團隊已採取以下措施： - 暫停主網運作並啟動遷移程序 - 宣布將另行公布新合約地址與資產快照時間表 - 表示與攻擊者相關錢包持有的代幣將被排除於未來轉換事件之外，並在遷移期間作廢 更廣泛背景：跨鏈橋風險依舊高企 今年以來，跨鏈橋一直是頻繁遭攻擊的目標。Blockaid 與其他安全公司將此事件與近期及過往類似案例相比，例如透過偽造或驗證不當訊息實現未經授權鑄造或轉移的事件，包括 Verus 橋樑攻擊（損失超過 1,150 萬美元）、2022 年的 Nomad 與 Wormhole 事件。其他近期橋樑攻擊包括 TON-TAC 在五月遭受的 268 萬美元攻擊（項目方已回收近 80% 資產），以及 THORChain、Transit Finance、TrustedVolumes、Echo Protocol、Ekubo 和 RetoSwap 等項目報告的安全事件。 Map Protocol 的功能 Map Protocol 是一個全鏈網絡，旨在連接比特幣與以太坊、BNB Chain、Tron 和 Solana 等生態系統，促進比特幣、穩定幣與代幣化資產的跨鏈轉移。此事件凸顯了互操作性基礎設施中的系統性風險：訊息編碼、重試邏輯與驗證細節的微小缺陷，即可引發大規模且迅速的市場動盪。 後續關注重點 - Map Protocol 的遷移時間表與新合約地址公告 - 交易所與流動性提供者是否將下架或黑名單化攻擊者控制的 MAPO 持倉 - Blockaid 或獨立審計師是否會發布更多法證細節，確認漏洞範圍與修復步驟 此案例再次提醒我們：跨鏈訊息驗證與安全的 Solidity 編碼實踐，對於橋樑安全仍至關重要。