Een kritieke beveiligingsfout werd op 13 april 2026 ontdekt in de Hyperbridge cross-chain-gateway die Polkadot en Ethereum met elkaar verbindt. Volgens beveiligingsbedrijf CertiK maakte een aanvaller misbruik van een replay-kwetsbaarheid in de Merkle Mountain Range-bewijsverificatie, waardoor onbevoegde administratieve toegang tot het bridged DOT-contract op Ethereum mogelijk werd. De aanvaller creëerde één miljard valse DOT-tokens en voerde één enkele swap-transactie uit, waardoor de gehele voorraad werd omgezet in ongeveer 108,2 ETH (ongeveer $237.000), voordat liquiditeitsbeperkingen verdere verkopen verhinderden. De prijs van de bridged DOT stortte in van circa $1,22 naar fracties van een cent in de getroffen pools, wat een daling van 5% in de prijs van DOT op grote beurzen teweegbracht voordat er deels herstel optrad.

On-chain-gegevens duiden erop dat de exploit rond circa 05:05 UTC plaatsvond, toen vervalste state-commitment-bewijzen authenticatiecontroles in de tokengateway.handleChangeAdmin-functie omzeilden. Deze fout stelde de aanvaller in staat de admin-rol over te nemen van het ERC-20-wrapped DOT-contract op Ethereum en een onbeperkte tokenvoorraad te genereren. Ondanks de omvang van het minten beperkte de geringe liquiditeit op gedecentraliseerde beurzen de winst van de aanvaller tot minder dan $250.000. De hoofdrelay-keten van Polkadot bleef veilig, en native DOT-tokens werden niet getroffen door de inbreuk. Ontwikkelaars en auditors geven nu prioriteit aan patches om strikte admin-rolcontroles af te dwingen en de replay-kwetsbaarheid op te lossen.

Vooraanstaande on-chain analyseplatforms zoals CoinGecko registreerden dat de prijs van DOT na de exploit begon te bewegen van $1,23 naar zo laag als $1,17 in de minuten daarna, voordat deze stabiliseerde rond $1,19. Hyperbridge-ontwikkelaars hebben toegezegd samen te werken met CertiK en blockchain-beveiligingsexperts om een volledige post-mortem uit te voeren, het gateway-contract te patchen en aanvullende governance-beschermingen te implementeren. De Polkadot-gemeenschap bekijkt ook de recente governance-maatregelen voor aanbodbeperkingen, wat de noodzaak benadrukt van uitgebreide beveiligingsaudits in cross-chain-oplossingen die afhankelijk zijn van cryptografische bewijzen. Dit incident benadrukt het blijvende risico van brugkwetsbaarheden en het belang van rigoureuze formele verificatie bij de ontwikkeling van slimme contracten.