Lexploit del ponte Polkadot conia 1 miliardo di token DOT su Ethereum

È stata scoperta una grave vulnerabilità di sicurezza il 13 aprile 2026 nel gateway cross-chain Hyperbridge che collega Polkadot ed Ethereum. Secondo la società di sicurezza CertiK, un attaccante ha sfruttato una vulnerabilità di replay nella verifica delle prove Merkle Mountain Range, consentendo l'accesso amministrativo non autorizzato al contratto DOT bridged su Ethereum. L'attaccante ha emesso un miliardo di token DOT falsi ed eseguito una singola transazione di swap, convertendo l'intera fornitura in circa 108,2 ETH (circa 237.000 USD), prima che le limitazioni di liquidità impedissero ulteriori vendite. Il prezzo del DOT bridged è crollato da circa 1,22 USD a frazioni di centesimo nelle pool interessate, provocando un calo del 5% del prezzo del DOT sulle principali exchange prima di un recupero parziale.

I dati on-chain indicano che l'exploit si è verificato alle circa 05:05 UTC, quando prove di stato contraffatte hanno bypassato i controlli di autenticazione nella funzione tokengateway.handleChangeAdmin. Questa vulnerabilità ha permesso all'attaccante di assumere il ruolo di amministratore del contratto ERC-20 wrapped DOT su Ethereum e di generare una fornitura di token illimitata. Nonostante l'entità del minting, una liquidità bassa negli exchange decentralizzati ha limitato il profitto dell'attaccante a meno di 250.000 USD. La catena di relay principale di Polkadot è rimasta sicura, e i token DOT nativi non sono stati interessati dalla violazione. Gli sviluppatori e gli auditor stanno ora dando priorità alle patch per imporre controlli severi sui ruoli amministrativi e risolvere la vulnerabilità di replay.

Le principali piattaforme di analisi on-chain come CoinGecko hanno registrato un movimento del prezzo di DOT da 1,23 USD a un minimo di 1,17 USD nei minuti successivi all'exploit, stabilizzandosi poi intorno a 1,19 USD. Gli sviluppatori di Hyperbridge hanno promesso di collaborare con CertiK ed esperti di sicurezza blockchain per condurre un'analisi post-mortem completa, correggere il contratto gateway e implementare ulteriori salvaguardie di governance. Anche la comunità di Polkadot sta esaminando le recenti misure di governance sul limite di fornitura, sottolineando la necessità di audit di sicurezza completi in soluzioni cross-chain che si basano su prove crittografiche. Questo incidente evidenzia il rischio persistente delle vulnerabilità dei bridge e l'importanza di una rigorosa verifica formale nello sviluppo degli smart contract.