Conséquences du piratage de Polkadot : La frappe d'Hyperbridge déclenche 1 milliard de DOT pontés sur Ethereum

Des questions de sécurité ont refait surface sur les marchés crypto après le récent incident de piratage Polkadot sur la passerelle Ethereum d'Hyperbridge, suscitant une réponse officielle de l'équipe du réseau.

Polkadot clarifie l'impact de l'exploit Hyperbridge

Le 13 avril 2026, Polkadot a publié une déclaration publique concernant un incident de sécurité affectant le contrat de passerelle Ethereum utilisé par Hyperbridge. Le projet a confirmé que seul le DOT ponté sur Ethereum avait été compromis, tandis que les actifs principaux du réseau restaient intacts.

L'équipe a déclaré : « Nous sommes au courant d'un problème affectant le contrat de passerelle Ethereum d'Hyperbridge. » Cependant, la mise à jour a souligné que le problème était de portée limitée et ne s'étendait pas à l'ensemble du réseau Polkadot ou à sa chaîne relais.

De plus, Polkadot a souligné : « L'exploit affecte uniquement le DOT sur Ethereum qui est ponté via Hyperbridge et n'affecte pas le DOT dans l'écosystème Polkadot, ni le DOT ponté via d'autres bridges. » Cette clarification visait à tracer une ligne claire entre les tokens affectés et les actifs natifs.

Ainsi, l'événement n'a pas impacté le DOT natif sur la chaîne relais, les parachains ou d'autres écosystèmes connectés à Polkadot. Cependant, le sentiment du marché est devenu négatif. Le prix du DOT a chuté de 4,77 % à 1,16 $ au moment de la publication, soulignant une claire baisse du prix du DOT liée à l'alerte de sécurité.

Hyperbridge suspend ses opérations et révèle les chiffres des pertes

Par précaution, les services de pontage liés au contrat compromis ont été immédiatement suspendus. Polkadot a noté qu'« Hyperbridge a été mis en pause pendant l'enquête sur le problème », signalant une action urgente pour contenir d'éventuels dommages supplémentaires.

De plus, Hyperbridge a publié un rapport d'incident détaillé expliquant l'exploit et ses conséquences. Il indique : « Le 13 avril 2026, une vulnérabilité dans la Token Gateway d'Hyperbridge a été exploitée, entraînant environ 237 000 $ de pertes sur Ethereum. » Ce chiffre représente l'impact financier direct identifié jusqu'à présent.

La plateforme a souligné que de nombreux systèmes cross-chain aujourd'hui s'appuient sur des ensembles de validateurs ou des approbations multi-signatures. Cependant, ces conceptions introduisent des hypothèses de confiance structurelles qui peuvent être abusées. Hyperbridge a noté que ces modèles ont collectivement contribué à plus de 2 milliards de dollars de pertes cumulées de bridges dans l'industrie.

Cela dit, le projet a fait valoir que sa propre architecture a été conçue pour réduire ces risques de sécurité cross-chain en privilégiant les preuves cryptographiques de la blockchain sous-jacente, plutôt que de s'appuyer sur des groupes centralisés d'approbateurs humains ou institutionnels.

À l'intérieur du bug de vérification Merkle Mountain Range

Hyperbridge a expliqué que son système tente de réduire les menaces de falsification de tokens pontés en ancrant la sécurité dans la vérification cryptographique. Cependant, le rapport indique clairement que l'exploit ne provenait pas d'un échec conceptuel de son approche cryptographique.

Au lieu de cela, l'enquête a révélé que la cause première était une voie de falsification de preuve dans l'implémentation d'Hyperbridge. Plus précisément, un bug a été découvert dans la logique de vérification de preuve Merkle Mountain Range basée sur Solidity utilisée par le contrat de passerelle Ethereum.

Selon le rapport, ce bug Merkle Mountain Range est apparu dans l'implémentation du vérificateur d'Arbre de Merkle qui tentait de reproduire la logique Polkadot en amont. Cependant, la faille a conduit le système à traiter certaines preuves invalides comme valides, brisant les garanties de sécurité prévues.

C'est cet échec de vérification qui a permis à un message malveillant de contourner les contrôles de sécurité. En conséquence, l'attaquant a effectivement obtenu un contrôle de niveau administratif sur le contrat de token DOT ponté sur Ethereum, ouvrant la porte à une création extensive de tokens.

Comment 1 milliard de DOT pontés falsifiés ont été créés et déchargés

Une fois que l'attaquant a obtenu cet accès élevé, il a procédé à ce que les enquêteurs décrivent comme un Minting de DOT ponté à grande échelle. L'exploiteur a créé 1 milliard de tokens DOT pontés, en exploitant le contrat compromis pour contourner les limites d'émission normales.

Cette offre nouvellement créée éclipsait le DOT ponté légitime en circulation sur Ethereum, qui s'élevait à environ 356 000 tokens. En termes numériques, l'émission frauduleuse dépassait l'offre en circulation réelle de plus de 2 800 fois, soulignant la gravité de la vulnérabilité du bridge Ethereum.

Cependant, l'attaquant n'a pas conservé cette position longtemps. Le rapport note que les tokens falsifiés ont été rapidement déplacés vers des échanges décentralisés et des lieux de trading similaires. Là, ils ont été vendus sur le marché, convertissant l'exploit en fonds liquides.

Dans sa communication, Polkadot a présenté l'événement comme une grave défaillance d'infrastructure tierce, plutôt qu'une défaillance du réseau principal lui-même. Néanmoins, le piratage Polkadot a relancé le débat sur la fragilité des architectures de bridges et leur rôle dans l'interopérabilité cross-chain.

Enquête en cours et prochaines étapes

De plus, Hyperbridge a confirmé qu'il travaille en étroite collaboration avec ses partenaires de sécurité pour retracer le mouvement des fonds volés on-chain. L'équipe évalue également les avenues potentielles de récupération et les stratégies d'atténuation pour remédier aux dommages financiers.

Hyperbridge s'est engagé à partager davantage de détails sur l'exploit Hyperbridge au fur et à mesure que l'enquête se poursuit et que de nouvelles preuves sont découvertes. Cependant, aucun calendrier concret n'a été fourni pour la réouverture complète des services de bridge ou pour tout processus de restitution.

Pour l'instant, le pontage via Hyperbridge reste suspendu pendant que les équipes techniques examinent l'implémentation de la preuve Merkle, la logique du contrat et les systèmes de surveillance. Cette pause vise à garantir que des vecteurs de falsification de preuve similaires ne puissent pas être exploités à nouveau par la même voie.

En résumé, l'incident a exposé une faiblesse critique dans un composant d'Ethereum de l'écosystème Polkadot, entraînant une perte de 237 000 $ et un coup porté à court terme à la confiance du marché. Cependant, le DOT natif, les parachains et l'infrastructure de la chaîne relais n'ont pas été violés, soulignant que le modèle de sécurité du protocole de base reste intact malgré l'échec d'Hyperbridge.