Eksploit jambatan Polkadot mencetak 1 bilion token DOT di Ethereum

Satu kekurangan keselamatan yang kritikal telah ditemui pada 13 April 2026 dalam gerbang rentas rantai Hyperbridge yang menghubungkan Polkadot dan Ethereum. Menurut firma keselamatan CertiK, seorang penyerang mengeksploitasi kelemahan ulangan dalam pengesahan bukti Merkle Mountain Range, membolehkan akses pentadbiran tanpa kebenaran ke kontrak DOT yang dihubungkan pada Ethereum. Penyerang telah menghasilkan satu bilion token DOT palsu dan melaksanakan satu transaksi pertukaran, menukar seluruh bekalan kepada kira-kira 108.2 ETH (lebih kurang $237,000), sebelum sekatan kecairan menghalang penjualan tambahan. Harga DOT yang dihubungkan merudum daripada sekitar $1.22 kepada pecahan sen di kolam kecairan yang terjejas, menyebabkan penurunan sebanyak 5% dalam harga DOT di bursa utama sebelum pulih sebahagiannya.

Data dalam talian menunjukkan eksploit itu berlaku pada kira-kira 05:05 UTC, ketika bukti komitmen keadaan yang dipalsukan mengabaikan pemeriksaan pengesahan dalam fungsi tokengateway.handleChangeAdmin. Kelemahan ini membolehkan penyerang mengambil peranan pentadbiran kontrak ERC-20 DOT terbungkus di Ethereum dan menjana bekalan token tanpa had. Walaupun skala penjanaan token, kecairan cetek di bursa terdesentralisasi membatasi keuntungan penyerang kepada kurang daripada $250,000. Rantaian relay utama Polkadot kekal selamat, dan token DOT asli tidak terjejas oleh pelanggaran itu. Pemaju dan juruaudit kini memberi keutamaan patch untuk memastikan pemeriksaan peranan pentadbiran yang ketat dan menyelesaikan kelemahan ulangan semula.

Platform analisis dalam talian terkemuka seperti CoinGecko merekodkan harga DOT bergerak daripada $1.23 kepada serendah $1.17 dalam minit selepas eksploit sebelum stabil sekitar $1.19. Pembangun Hyperbridge telah berjanji untuk bekerjasama dengan CertiK dan pakar keselamatan blockchain untuk menjalankan post-mortem penuh, membaiki kontrak gateway, dan melaksanakan langkah-langkah perlindungan tadbir urus tambahan. Komuniti Polkadot juga sedang menilai semula langkah tadbir urus had bekalan terkini, menekankan keperluan audit keselamatan yang menyeluruh dalam penyelesaian rentas-rantai yang bergantung pada bukti kriptografi. Kejadian ini menyorot risiko berterusan kelemahan jambatan dan kepentingan verifikasi formal yang ketat dalam pembangunan kontrak pintar.