Polkadot-bro-exploit mintar 1 miljard DOT-tokens på Ethereum

Ett kritiskt säkerhetsfel uppdagades den 13 april 2026 i Hyperbridge-tvärkedjebron som kopplar samman Polkadot och Ethereum. Enligt säkerhetsföretaget CertiK utnyttjade en angripare en återuppspelningssårbarhet i Merkle Mountain Range-bevisverifieringen, vilket möjliggjorde obehörig administrativ åtkomst till det kopplade DOT-kontraktet på Ethereum. Angriparen myntade en miljard falska DOT-tokens och genomförde en enda swap-transaktion, vilket omvandlade hela utbudet till cirka 108,2 ETH (ungefär 237 000 USD), innan likviditetsbegränsningar hindrade ytterligare försäljningar. Priset på det kopplade DOT rasade från omkring 1,22 USD till bråkdelar av en cent i de berörda likviditetspoolerna, vilket drev en cirka 5%-nedgång i DOT:s pris på större börser innan en viss återhämtning.

On-chain-data indikerar att attacken inträffade ungefär kl. 05:05 UTC, när förfalskade state-commitment-bevis kringgick autentiseringskontrollerna i tokengateway.handleChangeAdmin-funktionen. Denna brist gjorde det möjligt för angriparen att anta admin-rollen i ERC-20-wrapade DOT-kontraktet på Ethereum och skapa ett obegränsat tokenutbud. Trots omfattningen av myntningen begränsade den låga likviditeten på decentraliserade börser angriparens vinst till under 250 000 USD. Polkadots huvudreläskedja förblev säker, och de nativa DOT-tokens påverkades inte av intrånget. Utvecklare och granskare prioriterar nu patchar för att stärka strikt kontroll av admin-roller och åtgärda återuppspelnings­sårbarheten.

Ledande on-chain-analysplattformar som CoinGecko registrerade DOT:s prisrörelse från 1,23 USD till så lågt som 1,17 USD inom minuterna efter attacken innan det stabiliserades runt 1,19 USD. Hyperbridge-utvecklare har lovat att samarbeta med CertiK och blockchain-säkerhetsexperter för att genomföra en fullständig post-mortem, patcha gateway-kontraktet och införa ytterligare styrningssakretaer. Polkadot-samhället granskar även de senaste åtgärderna för att sätta ett tak på utbudet, vilket understryker behovet av omfattande säkerhetsrevisioner i tvärkedjelösningar som förlitar sig på kryptografiska bevis. Denna incident belyser den ihållande risken för bryggrelaterade sårbarheter och vikten av rigorös formell verifiering i utvecklingen av smarta kontrakt.