L’explotació del pont Polkadot crea 1 mil milions de tokens DOT a Ethereum

Una fallada de seguretat crítica va ser descoberta el 13 d'abril de 2026 a la passarel·la entre cadenes Hyperbridge que connecta Polkadot i Ethereum. Segons l'empresa de seguretat CertiK, un atacant va explotar una vulnerabilitat de repetició en la verificació de proves del Merkle Mountain Range, permetent un accés administratiu no autoritzat al contracte DOT bridjat a Ethereum. L'atacant va emetre un mil milions de tokens DOT falsos i va executar una única transacció de swap, convertint tota l'oferta en al voltant de 108,2 ETH (aproximadament 237.000 dòlars), abans que les limitacions de liquiditat impedissin vendes addicionals. El preu del DOT bridjat va caure des d'aproximadament 1,22 $ fins a fraccions de cèntim en les piscines afectades, provocant una davallada del 5% en el preu de DOT a les principals borses abans de recuperar-se parcialment.

Les dades en cadena indiquen que l'explot va tenir lloc cap a les 05:05 UTC, quan proves de compromís d'estat forjades van eludir les verificacions d'autenticació a la funció tokengateway.handleChangeAdmin. Aquesta fallada va permetre a l'atacant assumir el rol d'administrador del contracte ERC-20 DOT en Ethereum i generar un subministrament il·limitat de tokens. Tot i l'escala de la emissió, la liquidesa poc profunda en els intercanvis descentralitzats va limitar el benefici de l'atacant a menys de 250.000 dòlars. La cadena principal de relai de Polkadot va continuar segura, i els tokens DOT natius no van resultar afectats per la violació. Els desenvolupadors i auditors ara estan prioritzant parxes per aplicar controls estrictes del rol d'administrador i resoldre la vulnerabilitat de repetició.

Les plataformes d'anàlisi en cadena destacades com CoinGecko van registrar que el preu del DOT va passar de 1,23 $ a fins a 1,17 $ en els minuts següents a l'explot, abans de estabilitzar-se al voltant de 1,19 $. Els desenvolupadors de Hyperbridge s'han compromès a col·laborar amb CertiK i experts en seguretat de blockchain per realitzar una auditoria post-mortem completa, corregir el contracte de la passarel·la i implementar salvaguardes addicionals de governança. La comunitat de Polkadot també està revisant les mesures de governança del límit d'oferta recents, ressaltant la necessitat d'auditories de seguretat exhaustives en solucions entre cadenes que depenen de proves criptogràfiques. Aquest incident ressalta el risc persistent de vulnerabilitats de pont i la importància de la verificació formal rigorosa en el desenvolupament de contractes intel·ligents.