Polkadot-Bridge-Exploits prägen 1 Mrd. DOT-Tokens auf Ethereum

Eine kritische Sicherheitslücke wurde am 13. April 2026 in der Hyperbridge Cross-Chain Gateway entdeckt, die Polkadot und Ethereum verbindet. Laut dem Sicherheitsunternehmen CertiK nutzte ein Angreifer eine Replay-Schwachstelle in der Verifikation des Merkle-Mountain-Range-Beweises, wodurch unbefugter administrativer Zugriff auf den bridged DOT-Vertrag auf Ethereum ermöglicht wurde. Der Angreifer prägte eine Milliarde gefälschter DOT-Token und führte eine einzige Swap-Transaktion aus, wandelte die gesamte Menge in ca. 108,2 ETH (etwa 237.000 USD) um, bevor Liquiditätsbeschränkungen weitere Verkäufe verhinderten. Der bridged DOT-Preis brach von rund 1,22 USD auf Bruchteile eines Cents in den betroffenen Pools ein, was einen Rückgang des DOT-Preises an großen Börsen um 5% zur Folge hatte, bevor er teilweise wieder anzog.

On-Chain-Daten deuten darauf hin, dass der Exploit gegen ca. 05:05 UTC stattfand, als gefälschte State-Commitment-Beweise Authentifizierungsprüfungen in der tokengateway.handleChangeAdmin-Funktion umgingen. Dieser Fehler ermöglichte es dem Angreifer, die Admin-Rolle des ERC-20-wrapped DOT-Vertrags auf Ethereum zu übernehmen und eine unbegrenzte Token-Versorgung zu erzeugen. Trotz der Größenordnung der Prägung begrenzte die geringe Liquidität auf dezentralen Börsen den Gewinn des Angreifers auf unter 250.000 USD. Polkadots Haupt-Relay-Chain blieb sicher, und native DOT-Tokens waren von dem Verstoß nicht betroffen. Entwickler und Auditoren priorisieren nun Patches, um strenge Admin-Rollen-Prüfungen durchzusetzen und die Replay-Schwachstelle zu beheben.

Führende On-Chain-Analyseplattformen wie CoinGecko verzeichneten, dass der DOT-Preis in den Minuten nach dem Exploit von 1,23 USD auf bis zu 1,17 USD fiel und sich anschließend um ca. 1,19 USD stabilisierte. Hyperbridge-Entwickler haben sich verpflichtet, mit CertiK und Blockchain-Sicherheits-Experten zusammenzuarbeiten, um eine vollständige Nachbetrachtung durchzuführen, den Gateway-Vertrag zu patchen und zusätzliche Governance-Sicherheitsmaßnahmen zu implementieren. Die Polkadot-Gemeinschaft prüft auch jüngste Governance-Maßnahmen zur Obergrenze der Versorgung, was die Notwendigkeit umfassender Sicherheitsprüfungen in Cross-Chain-Lösungen, die kryptografische Beweise verwenden, unterstreicht. Dieser Vorfall hebt das anhaltende Risiko von Brücken-Schwachstellen hervor und betont die Bedeutung rigoroser formaler Verifikation in der Entwicklung von Smart Contracts.