Les exploits du pont Polkadot créent 1 milliard de jetons DOT sur Ethereum.

Une faille de sécurité critique a été découverte le 13 avril 2026 dans la passerelle cross-chain Hyperbridge reliant Polkadot et Ethereum. Selon la société de sécurité CertiK, un attaquant a exploité une vulnérabilité de rejeu dans la vérification de la preuve Merkle Mountain Range, permettant un accès administratif non autorisé au contrat DOT ponté sur Ethereum. L’attaquant a minté un milliard de faux jetons DOT et a exécuté une seule transaction d’échange, convertissant l’intégralité de l’offre en environ 108,2 ETH (environ 237 000 dollars), avant que des contraintes de liquidité n’empêchent d’autres ventes. Le prix du DOT ponté s’est effondré d’environ 1,22 $ à des fractions de cent dans les pools touchés, entraînant une chute de 5% du prix du DOT sur les principales plateformes d’échange avant une reprise partielle.

Les données on-chain indiquent que l’exploit s’est produit vers 05:05 UTC, lorsque des preuves d’engagement d’état forgées ont contourné les contrôles d’authentification dans la fonction tokengateway.handleChangeAdmin. Cette faille a permis à l’attaquant d’assumer le rôle d’administrateur du contrat ERC-20 DOT enveloppé sur Ethereum et de générer une offre de jetons illimitée. Malgré l’ampleur du minting, une faible liquidité sur les échanges décentralisés a limité le profit de l’attaquant à moins de 250 000 dollars. La chaîne relais principale de Polkadot est restée sécurisée et les jetons DOT natifs n’ont pas été affectés par la violation. Les développeurs et les auditeurs privilégient désormais des correctifs pour renforcer les vérifications strictes des rôles d’administrateur et résoudre la vulnérabilité de rejeu.

Les plateformes d’analyse on-chain de premier plan telles que CoinGecko ont enregistré que le prix du DOT est passé de 1,23 $ à un minimum de 1,17 $ dans les minutes qui ont suivi l’exploit, avant de se stabiliser autour de 1,19 $. Les développeurs Hyperbridge se sont engagés à collaborer avec CertiK et des experts en sécurité blockchain pour réaliser une post-mortem complète, corriger le contrat de passerelle et mettre en œuvre des garde-fous de gouvernance supplémentaires. La communauté Polkadot réévalue également les mesures de gouvernance relatives au plafond d’offre récemment mises en place, soulignant la nécessité d’audits de sécurité approfondis dans les solutions cross-chain qui reposent sur des preuves cryptographiques. Cet incident met en évidence le risque persistant des vulnérabilités des ponts et l’importance d’une vérification formelle rigoureuse dans le développement de contrats intelligents.