Un atacator a generat token-uri Polkadot în valoare de 1 miliard de dolari pe Ethereum, furând doar 250.000 de dolari.
Un mesaj cross-chain falsificat a ocolit validarea stării dovezii pe contractul bridge, acordând control administrativ asupra token-ului DOT bridge și permițând atacatorului să genereze și să vândă întreaga ofertă pentru 237.000 de dolari.
De Shaurya Malwa | Editat de Omkar Godbole Actualizat 13 apr. 2026, 7:33 a.m. Publicat 13 apr. 2026, 7:16 a.m.
Ce trebuie să știi: Un atacator a exploatat o vulnerabilitate în contractul gateway Ethereum al Hyperbridge pentru a genera 1 miliard de token-uri Polkadot bridge și a le vinde pentru aproximativ 237.000 de dolari în ether.
Exploatarea, care nu a afectat rețeaua centrală Polkadot sau DOT-ul nativ, a abuzat de o cale de validare a mesajelor cross-chain defectuoasă pentru a prelua controlul administrativ al contractului token bridge.
Profitul atacatorului a fost limitat de lichiditatea scăzută din pool-ul Ethereum DOT, dar firmele de securitate avertizează că defecte similare pe bridge-uri cu pool-uri mai adânci sau active cu valoare mai mare ar putea duce la pierderi mult mai mari.
Atacurile cripto nu sunt o noutate, dar cazurile în care atacatorii își asumă riscuri mari și pleacă cu mărunțiș nu sunt comune. Acest scenariu rar s-a petrecut duminică. Un atacator a exploatat o vulnerabilitate în gateway-ul cross-chain al Hyperbridge, care conectează diferite blockchain-uri, generând 1 miliard de token-uri Polkadot (1,19 miliarde de dolari) pe Ethereum și vânzându-le pentru aproximativ 237.000 de dolari în ether.
Exploatarea se adaugă unei liste tot mai mari de vulnerabilități ale bridge-urilor în 2026. Luna trecută a avut loc o scurgere de 270 de milioane de dolari a Protocolului Drift pe Solana, în timp ce un atac de inginerie socială, mai degrabă decât o exploatare a codului, a implicat în mod similar infrastructură compromisă.
Exploatarea de duminică a vizat contractul bridge, nu rețeaua centrală Polkadot. Token-ul nativ DOT al Polkadot nu a fost afectat.
Vulnerabilitatea se afla în modul în care contractul EthereumHost al Hyperbridge validează mesajele cross-chain primite înainte de a le transmite către TokenGateway. Bridge-urile, care ajută la mutarea monedelor de la un blockchain la altul, rămân cea mai slabă verigă din arhitectura cross-chain, deoarece dețin control la nivel administrativ asupra contractelor token de pe lanțurile de destinație, ceea ce înseamnă că o singură eroare de validare poate acorda unui atacator capacitatea de a genera o ofertă nelimitată.
Iată cum s-a desfășurat atacul
Urmele on-chain arată că atacatorul a trimis un mesaj falsificat prin dispatchIncoming, care a fost direcționat către TokenGateway.onAccept. Verificarea chitanțelor de cerere, care ar fi trebuit să verifice mesajul în raport cu un angajament valid de stare cross-chain de la Polkadot, a stocat o valoare de angajament formată din zerouri, sugerând că validarea dovezii a fost fie absentă, fie ocolită pentru această cale de apel specifică.
Gateway-ul a procesat mesajul ca fiind legitim. Mesajul acceptat a executat changeAdmin pe contractul token Polkadot bridge, transferând drepturile de administrator către adresa atacatorului.
Cu controlul administrativ, atacatorul a generat 1 miliard de token-uri într-o singură tranzacție și le-a direcționat prin Odos Router V3 într-un pool Uniswap V4 DOT-ETH, extrăgând aproximativ 108,2 ETH prin ceea ce pare a fi mai multe swap-uri la prețuri ușor diferite.
Lichiditatea a lucrat împotriva atacatorului
Lichiditatea/profunzimea slabă, sau capacitatea pieței de a absorbi ordine mari la prețuri stabile, este de obicei o problemă majoră pentru balene. Dar, în acest caz, a lucrat împotriva atacatorului, limitându-i profitul.
Pool-ul DOT bridge de pe Ethereum avea o profunzime limitată, ceea ce înseamnă că 1 miliard de token-uri au copleșit lichiditatea disponibilă, iar atacatorul a primit o fracțiune dintr-un cent pe token. Pe un pool mai adânc sau un activ bridge cu valoare mai mare, aceeași vulnerabilitate ar fi produs pierderi semnificativ mai mari.
DOT se tranzacționează cu puțin sub 1,20 dolari în orele de dimineață asiatice de luni.
CertiK a semnalat exploatarea, confirmând că vectorul de atac a fost contractul gateway Hyperbridge și că atacatorul a profitat cu aproximativ 237.000 de dolari din generarea și vânzarea token-urilor bridge.
Hyperbridge nu a comentat public cu privire la exploatare și nici nu a dezvăluit dacă alte contracte token bridge care utilizează același gateway sunt vulnerabile la același vector de atac de mesaj falsificat.