Наслідки злому Polkadot: карбування Hyperbridge спричинило появу 1 мільярда перемощених DOT на блокчейн Ethereum

Питання безпеки знову виникли на криптовалютних ринках після недавнього інциденту зламу polkadot на шлюзі Ethereum від Hyperbridge, що спричинило офіційну відповідь від команди мережі.

Polkadot уточнює вплив експлойту Hyperbridge

13 квітня 2026 року Polkadot опублікував публічну заяву щодо інциденту безпеки, який вплинув на контракт шлюзу Ethereum, який використовується Hyperbridge. Проєкт підтвердив, що лише bridged DOT на Ethereum було скомпрометовано, тоді як основні активи мережі залишилися неушкодженими.

Команда заявила: "Ми знаємо про проблему, що впливає на контракт шлюзу Ethereum від Hyperbridge". Однак в оновленні підкреслювалося, що проблема була обмеженою за обсягом і не поширилася на всю мережу Polkadot або її relay chain.

Крім того, Polkadot наголосив: "Експлойт впливає лише на DOT на Ethereum, який перенесено через Hyperbridge, і не впливає на DOT в екосистемі Polkadot або DOT, перенесений через інші мости". Це уточнення мало на меті провести чітку межу між ураженими токенами та нативними активами.

Таким чином, подія не вплинула на нативний DOT на relay chain, парачейнах або інших екосистемах, підключених до Polkadot. Однак ринкові настрої все одно стали негативними. Ціна DOT впала на 4,77% до $1,16 на момент публікації, підкреслюючи чітке падіння ціни dot, пов'язане з загрозою безпеки.

Hyperbridge призупиняє операції та розкриває цифри втрат

Як запобіжний захід, послуги мостів, пов'язані зі скомпрометованим контрактом, були негайно призупинені. Polkadot зазначив, що "Hyperbridge було призупинено під час розслідування проблеми", сигналізуючи про термінові дії для стримування потенційної подальшої шкоди.

Крім того, Hyperbridge опублікував детальний звіт про інцидент, що пояснює експлойт та його наслідки. У ньому зазначалося: "13 квітня 2026 року вразливість у Token Gateway від Hyperbridge була використана, що призвело до приблизно $237 000 втрат на Ethereum". Ця цифра представляє прямий фінансовий вплив, виявлений на даний момент.

Платформа підкреслила, що багато кросчейн систем сьогодні покладаються на набори валідаторів або багатопідписні схвалення. Однак такі дизайни вводять структурні припущення довіри, які можуть бути зловживані. Hyperbridge зазначив, що ці моделі в сукупності сприяли більш ніж $2 мільярдам сукупних втрат мостів в усій індустрії.

Тим не менш, проєкт стверджував, що його власна архітектура була розроблена для зниження цих ризиків безпеки кросчейн шляхом надання переваги криптографічним доказам з базового блокчейну замість покладання на централізовані групи людських або інституційних схвалювачів.

Всередині помилки верифікації Merkle Mountain Range

Hyperbridge пояснив, що його система намагається зменшити загрози підробки токенів мосту шляхом закріплення безпеки в криптографічній верифікації. Однак звіт ясно вказує, що експлойт не виник через концептуальну невдачу його криптографічного підходу.

Натомість розслідування виявило, що основною причиною був шлях підробки доказів в реалізації Hyperbridge. Зокрема, була виявлена помилка в логіці верифікації доказів Merkle Mountain Range на основі Solidity, яка використовувалася контрактом шлюзу Ethereum.

Згідно зі звітом, ця помилка merkle mountain range виникла в реалізації верифікатора дерева Меркла, яка намагалася відобразити upstream логіку Polkadot. Однак недолік призвів до того, що система розглядала певні недійсні докази як дійсні, порушуючи передбачені гарантії безпеки.

Саме ця невдача верифікації дозволила шкідливому повідомленню обійти перевірки безпеки. В результаті зловмисник фактично отримав контроль адміністративного рівня над контрактом токена bridged DOT на Ethereum, відкривши двері для масового створення токенів.

Як було створено та скинуто підроблений 1 мільярд bridged DOT

Отримавши цей підвищений доступ, зловмисник продовжив те, що слідчі описують як майнінг bridged dot у величезних масштабах. Експлойтер намайнив 1 мільярд токенів bridged DOT, використовуючи скомпрометований контракт для обходу нормальних лімітів емісії.

Ця новостворена пропозиція затьмарила легітимний циркулюючий bridged DOT на Ethereum, який становив приблизно 356 000 токенів. У чисельному вираженні фальшива емісія перевищила реальну циркулюючу пропозицію більш ніж у 2 800 разів, підкреслюючи серйозність вразливості мосту ethereum.

Однак зловмисник не утримував позицію довго. Звіт зазначає, що підроблені токени були швидко переміщені на децентралізовані біржі та подібні торгові майданчики. Там вони були продані на ринок, перетворивши експлойт у ліквідні кошти.

У своєму повідомленні Polkadot охарактеризував подію як серйозний збій сторонньої інфраструктури, а не як збій основної мережі. Тим не менш, злам polkadot знову розпалив дебати щодо крихкості архітектур мостів та їх ролі в кросчейн сумісності.

Поточне розслідування та наступні кроки

Крім того, Hyperbridge підтвердив, що він тісно співпрацює зі своїми партнерами з безпеки для відстеження руху викрадених коштів ончейн. Команда також оцінює потенційні шляхи повернення та стратегії пом'якшення для вирішення фінансової шкоди.

Hyperbridge зобов'язався поділитися додатковими деталями експлойту hyperbridge у міру продовження розслідування та виявлення нових доказів. Однак не було надано конкретного графіка для повного відновлення послуг мосту або для будь-якого процесу відшкодування.

Наразі міст через Hyperbridge залишається призупиненим, поки технічні команди переглядають реалізацію доказів Меркла, логіку контрактів та системи моніторингу. Ця пауза має на меті гарантувати, що подібні вектори підробки доказів не можуть бути знову використані через той самий шлях.

Підсумовуючи, інцидент виявив критичну слабкість в одному компоненті екосистеми Polkadot, що стикається з Ethereum, що призвело до втрати $237 000 та короткострокового удару по ринковій довірі. Однак нативний DOT, парачейни та інфраструктура relay chain не були порушені, підкреслюючи, що основна модель безпеки протоколу залишається недоторканою незважаючи на збій Hyperbridge.