波卡橋漏洞事件的發生 (初學者解釋)。

一名攻擊者利用了波卡與以太坊之間橋接的漏洞，允許他們鑄造大量無擔保的代幣並在市場上出售。
儘管創造了大量供應，他們在流動性耗盡前僅提取了約 24 萬美元的 ETH。
讓我們一步步拆解這是如何可能的。
什麼是區塊鏈橋？
要理解發生了什麼，我們需要從基本概念開始。
像波卡和以太坊這樣的區塊鏈是獨立的系統，它們本身不會自然通信。橋接是一個將它們連接起來的工具。
簡單比喻：
想像兩個國家有不同的貨幣：
國家 A = 波卡
國家 B = 以太坊
橋就像一個貨幣兌換所：
你在波卡存入真正的 DOT，橋會鎖定它，並給你“包裝 DOT”在以太坊上。
這個包裝代幣代表你的真實 DOT。
只有當橋是安全可信的，這個包裝代幣才有價值。
什麼是密碼證明？
橋不直接信任用戶。相反，它們依賴密碼證明。
密碼證明就像一個數學可驗證的收據，說：
“這個事件確實在另一個區塊鏈上發生了。”
例子：
“用戶在波卡鎖定了 100 DOT”
證明確認這是真的，然後橋會在以太坊上發行 100 個包裝 DOT。
為什麼這是安全的？
因為這些證明基於複雜的數學和區塊鏈數據，設計成不可能偽造。
“Forge”是什麼意思？
在加密貨幣中，forge（鑄造）意味著創建一個看起來真實的假版本，以騙過系統。
讓系統相信某件事發生了，實際上並沒有。
這正是事情出錯的地方。
這次的核心問題是橋信任了一個假證明，
而不是正確驗證：“這個證明是真實的嗎？”
系統實際上說：“看起來沒問題。”
但事實上，並非如此。
攻擊者是如何控制的
攻擊者不僅偽造了一筆交易，他們還利用偽造的證明觸發了智能合約中的特權操作。
智能合約是區塊鏈上的一個程序，會自動執行規則並控制資產。
有些功能僅限管理員操作。
這裡發生了什麼？
攻擊者提交了偽造的證明，合約相信它來自可信來源。結果，它允許執行一個受限制的功能，賦予攻擊者管理員權限。此時，他們就完全控制了合約。
攻擊過程：
獲得完全控制後，攻擊者在以太坊上鑄造了 10 億個假包裝 DOT 代幣。這些代幣並未由真實 DOT 支持。
為了將它們轉換成真錢，他們使用了 Uniswap 的流動性池。
他們用這些假代幣與存有真實資金的池子進行兌換，換取 ETH。
重要說明：這並不是 Uniswap 的失誤。Uniswap 是一個無許可的去中心化交易平台，不會驗證代幣是否“合法”或是否存在流動性。交易是自動執行的。
真正的問題在於脆弱的橋 (Hyperbridge)，它允許無效、無擔保的代幣存在。
攻擊真正發生的地方：
攻擊者從未觸碰過核心的波卡網絡。
所有事件都發生在：
以太坊 → 假代幣被鑄造和出售
Uniswap → 流動性被抽走
橋 → 漏洞存在
最終結果：
攻擊者在流動性耗盡前提取了約 108 ETH (~24 萬美元)。