Map Protocol 代幣 MAPO 遭跨鏈橋漏洞鑄幣攻擊，供應暴增至 1 千萬億枚後急瀉 96%

Map Protocol 原生代幣 MAPO 於周內急挫，市價在數小時內由約 0.003 美元跌至接近 0.0001 美元，跌幅約 96%（CoinGecko）。事件起因為攻擊者利用 Butter Network 跨鏈橋的合約缺陷，未經授權大量鑄造 MAPO 並迅速拋售。 區塊鏈保安公司 Blockaid 指出，黑客共鑄造約 1 千萬億（1 quadrillion）枚 MAPO，約為合法供應量約 2.08 億枚的 480 萬倍，其後將約 10 億枚 MAPO 投入 Uniswap 流動池沽售，直接衝擊市場價格。據稱相關套現所得約 52 ETH（約 18 萬美元），而攻擊者錢包仍保留接近 1 萬億枚 MAPO，或繼續對其他池子及交易所掛牌構成風險。 Blockaid 表示，漏洞源自 Butter Bridge V3.1 的 OmniServiceProxy 層 Solidity 合約編碼問題，並非私鑰外洩或 light client 驗證被攻破。調查顯示，攻擊者先提交一則由 oracle multisig 簽署的正常訊息，之後在指定地址部署惡意合約，再重發一則標記為「retry」的跨鏈訊息並微調其 payload。由於合約在驗證 retry 時以 keccak256(abi.encodePacked(...)) 串接多個 dynamic bytes 欄位作認證，而 abi.encodePacked 不包含長度前綴，導致串接邊界出現歧義並可構造碰撞，令被改動的 retry 看似有效，最終觸發未授權鑄幣。 Map Protocol 確認問題出於 Solidity 合約實作，並強調其 light client 及 oracle 多簽並未被入侵。團隊已暫停主網運作並啟動遷移流程，表示將另行公布新合約地址及資產快照時間表；同時指出，與攻擊者相關錢包持有的代幣將被排除於未來兌換安排，並在遷移期間作廢。 市場層面，跨鏈橋今年持續成為攻擊重災區。Blockaid 等機構把是次事件與多宗因訊息偽造或驗證不足而導致未授權鑄幣／轉移的事故相提並論，包括 Verus 跨鏈橋（涉款逾 1,150 萬美元）以及 2022 年的 Nomad、Wormhole 事件。近期亦有 TON‑TAC 於 5 月錄得 268 萬美元損失（項目其後回收近 80% 資產），並有 THORChain、Transit Finance、TrustedVolumes、Echo Protocol、Ekubo、RetoSwap 等項目披露不同程度的保安事故。 Map Protocol 定位為 omnichain 網絡，目標把 Bitcoin 與 Ethereum、BNB Chain、Tron、Solana 等生態連接，促進比特幣、穩定幣及代幣化資產的跨鏈轉移。今次事件再度突顯互操作基建的系統性風險：訊息編碼、重試機制與驗證細節一旦處理不當，足以在短時間內引發大規模市場震盪。 後續焦點包括：Map Protocol 公布遷移時間表及新合約地址；交易所與流動性提供者會否下架或封鎖攻擊者控制的 MAPO；以及 Blockaid 或獨立審計方會否發布更多取證資料，進一步界定影響範圍與修復措施。