链上安全机构 Blockaid 于 5 月 20 日监测到 MAP Protocol 旗下跨链桥组件 Butter Bridge V3.1 在以太坊和 BSC 上遭攻击,攻击者利用智能合约设计缺陷,诱使桥接合约直接向新创建地址非法铸造约 1,000 万亿枚 MAPO,约为合法流通量 2.08 亿枚的 480 万倍。
攻击机制:重试消息验证流程中的智能合约设计缺陷
Blockaid 确认,此次攻击的根源是 Butter Bridge V3.1 重试消息验证流程中的智能合约设计缺陷,属合约实现层面的问题,而非 MAP Protocol 底层协议架构的失效。攻击者通过诱导合约执行错误的验证路径,令桥接合约绕过合法的跨链凭据核查,直接在 Ethereum 链上向一个新建 EOA 地址铸造代币。
跨链桥在技术上需要同时验证来自两条独立区块链的消息,每条链有各自的共识机制、安全模型和交易最终确认规则。MAP Protocol 设计采用点对点模型和轻客户端验证,理论上比依赖可信第三方验证器的方案具备更小的攻击面,但本次事件中合约重试逻辑的设计缺陷提供了可利用的入口。Butter Network 确认,修补、审计和重新部署工作正在进行中。
损失规模与 MAPO 市场反应:已确认数据
攻击者已套现金额:52.21 ETH(约 18 万美元),来自 Uniswap V4 ETH/MAPO 流动性池
攻击者剩余持仓:约 9,999.99 亿枚 MAPO,仍在攻击者钱包中,对所有 MAPO 相关流动性池及 CEX 上线构成持续风险
MAPO 价格影响:抛售后单日跌幅约 30%
非法铸造总量:约 1,000 万亿枚,为合法流通量(2.08 亿枚)的 480 万倍
2026 年跨链桥攻击累计损失(截至 5 月中旬):逾 3.286 亿美元
MAP Protocol 与 Butter Network 确认的应对措施
MAP Protocol 官方声明确认以下已执行的遏制措施:MAPO ERC-20 与 MAPO 主网之间的桥接已暂停;警告用户当前请勿在 Uniswap 上交易 MAPO ERC-20 代币,事件缓解措施进行期间流动性池仍存在风险;团队正与外部安全合作伙伴协调进行调查。
Butter Network 官方声明确认:ButterSwap 已暂停所有运营;修补、审计和重新部署工作正在进行中;待处理交易将在安全恢复后处理;用户资金未受直接损失,所有受影响交易确认将在系统恢复后全额处理。
常见问题
此次攻击是否属于 MAP Protocol 底层协议的架构缺陷?
Blockaid 确认,此次漏洞属 Butter Bridge V3.1 的智能合约设计问题,具体发生在重试消息验证流程中,是合约实现层面的缺陷,而非 MAP Protocol 底层点对点架构或轻客户端验证模型的根本性失效。Butter Network 目前正在对该组件进行修补和重新审计。
攻击者剩余的约 9,999 亿枚 MAPO 持仓为何构成持续风险?
攻击者钱包中仍持有约 9,999.99 亿枚非法铸造的 MAPO,远超合法流通量(2.08 亿枚)的数千倍。若攻击者选择将这些代币投入任何 MAPO 流动性池或向中心化交易所提交上线申请,将对 MAPO 市场价格和流动性构成极大冲击。Blockaid 的公告明确指出,此持仓“对任何 MAPO 池或 CEX 上线构成持续风险”。
跨链桥为何持续成为 DeFi 生态的高风险攻击目标?
跨链桥在技术架构上需要同时处理来自两条独立区块链的消息,而每条链拥有各自不同的共识机制、安全模型和最终确认规则。桥接合约通常在其中一条链上锁定大量资产,并在另一条链上铸造对应代币。一旦桥接逻辑存在缺陷,攻击者可盗走锁定资产或在无资金背书的情况下铸造代币。历史案例包括 2022 年 Nomad Bridge 逾 1.86 亿美元被盗(身份验证错误)、Ronin Bridge 和 Wormhole 攻击等;2026 年迄今此类攻击累计损失已超 3.286 亿美元。
免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。
本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复
