Zneužití Polkadotových mostů mintuje 1 miliardu DOT tokenů na Ethereu

Kritická bezpečnostní chyba byla objevena 13. dubna 2026 v bráně Hyperbridge pro cross-chain komunikaci spojující Polkadot a Ethereum. Podle bezpečnostní firmy CertiK útok využil zranitelnost replay útoku v ověřování důkazu Merkle Mountain Range, což umožnilo neoprávněný administrativní přístup k bridovanému DOT kontraktu na Ethereum. Útočník mintoval jednu miliardu falešných DOT tokenů a provedl jedinou směnnou transakci, převedl veškerou zásobu na přibližně 108,2 ETH (přibližně 237 000 USD), než mu likviditní omezení znemožnilo další prodeje. Cena bridovaného DOT se propadla zhruba z 1,22 USD na zlomek centu v postižených poolech, což vyvolalo pád ceny DOT na hlavních burzách o 5 % před částečným zotavením.

Řetězová data ukazují, že exploze proběhla přibližně v 05:05 UTC, když padělané důkazy stavu (state-commitment proofs) obešly autentizační kontroly ve funkci tokengateway.handleChangeAdmin. Tato chyba umožnila útočníkovi převzít administrativní roli ERC-20 zabaleného DOT kontraktu na Ethereum a generovat neomezené množství tokenů. Přestože rozsah mintování byl velký, nízká likvidita na decentralizovaných burzách omezila zisk útočníka na méně než 250 000 USD. Hlavní relé řetězec Polkadot zůstal v bezpečí a nativní DOT tokeny nebyly útokem dotčeny. Vývojáři a auditoři nyní upřednostňují opravy, které zajistí přísnější kontroly administrátorské role a vyřeší zranitelnost replay.

Přední on-chain analytické platformy, jako CoinGecko, zaznamenaly pohyb ceny DOT z 1,23 USD na minimum 1,17 USD v minutách po útoku, než se cena stabilizovala kolem 1,19 USD. Vývojáři Hyperbridge se zavázali spolupracovat se společností CertiK a odborníky na bezpečnost blockchainu na provedení důkladné analýzy po incidentu (post-mortem), opravě gateway kontraktu a zavedení dalších bezpečnostních opatření správy. Komunita Polkadot rovněž reviduje nedávná opatření správy limitů nabídky, čímž podtrhuje potřebu komplexních bezpečnostních auditů v cross-chain řešeních, která spoléhají na kryptografické důkazy. Tento incident zdůrazňuje trvalé riziko zranitelností bridgů a důležitost důkladné formální verifikace ve vývoji chytrých kontraktů.