Eksploit jembatan Polkadot mencetak 1 miliar token DOT di Ethereum

Sebuah celah keamanan kritis ditemukan pada tanggal 13 April 2026 di gateway lintas-rantai Hyperbridge yang menghubungkan Polkadot dan Ethereum. Menurut perusahaan keamanan CertiK, seorang penyerang memanfaatkan kerentanan replay pada verifikasi bukti Merkle Mountain Range, memungkinkan akses administratif tanpa otorisasi ke kontrak DOT yang di-bridge di Ethereum. Penyerang mencetak satu miliar token DOT palsu dan mengeksekusi satu transaksi swap, mengubah seluruh pasokan menjadi sekitar 108,2 ETH (sekitar $237.000), sebelum keterbatasan likuiditas mencegah penjualan tambahan. Harga DOT yang di-bridge runtuh dari sekitar $1,22 menjadi pecahan sen di kolam likuiditas yang terdampak, menyebabkan penurunan 5% harga DOT di bursa utama sebelum pulih sebagian.

Data on-chain menunjukkan eksploitasi terjadi sekitar pukul 05:05 UTC, ketika bukti komitmen keadaan palsu melewati pemeriksaan otentikasi dalam fungsi tokengateway.handleChangeAdmin. Cacat ini memungkinkan penyerang mengambil peran admin kontrak ERC-20 wrapped DOT di Ethereum dan menghasilkan pasokan token tanpa batas. Meski skala minting besar, likuiditas dangkal di bursa terdesentralisasi membatasi keuntungan penyerang menjadi kurang dari $250.000. Jalur relay utama Polkadot tetap aman, dan token DOT asli tidak terpengaruh oleh pelanggaran ini. Pengembang dan auditor kini memprioritaskan patch untuk menegakkan pemeriksaan peran admin yang ketat dan menyelesaikan kerentanan replay.

Platform analisis on-chain terkemuka seperti CoinGecko mencatat harga DOT bergerak dari $1,23 ke serendah $1,17 dalam beberapa menit setelah eksploitasi sebelum stabil di sekitar $1,19. Pengembang Hyperbridge telah berjanji bekerja sama dengan CertiK dan ahli keamanan blockchain untuk melakukan post-mortem lengkap, menambal kontrak gateway, dan menerapkan langkah-langkah tata kelola tambahan. Komunitas Polkadot juga meninjau kebijakan tata kelola pembatasan pasokan yang baru, menekankan perlunya audit keamanan yang komprehensif dalam solusi lintas-rantai yang mengandalkan bukti kriptografis. Insiden ini menyoroti risiko kerentanan jembatan yang terus-menerus dan pentingnya verifikasi formal yang ketat dalam pengembangan kontrak pintar.