Khai thác cầu nối Polkadot đúc 1 tỷ DOT tokens trên Ethereum

Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện vào ngày 13 tháng 4 năm 2026 trong cổng kết nối chuỗi chéo Hyperbridge kết nối Polkadot và Ethereum. Theo công ty bảo mật CertiK, một kẻ tấn công đã khai thác một lỗ hổng phát lại trong xác thực bằng chứng Merkle Mountain Range, cho phép truy cập quản trị trái phép đến hợp đồng DOT được cầu nối trên Ethereum. Kẻ tấn công đã đúc một tỷ token DOT giả và thực hiện một giao dịch hoán đổi duy nhất, chuyển đổi toàn bộ nguồn cung thành khoảng 108,2 ETH (khoảng 237.000 USD), trước khi các hạn chế thanh khoản ngăn không cho bán thêm. Giá DOT bridged giảm từ khoảng 1,22 USD xuống chỉ còn vài phần cent trong các pool bị ảnh hưởng, đẩy giá DOT trên các sàn lớn giảm 5% trước khi phục hồi một phần.

Dữ liệu trên chuỗi cho thấy vụ khai thác diễn ra vào khoảng 05:05 UTC, khi các bằng chứng cam kết trạng thái giả vượt qua các kiểm tra xác thực trong hàm tokengateway.handleChangeAdmin. Lỗ hổng này cho phép kẻ tấn công đảm nhận vai trò quản trị của hợp đồng ERC-20 DOT được đóng gói trên Ethereum và tạo ra nguồn cung token vô hạn. Mặc dù quy mô đúc token lớn, thanh khoản nông trên các sàn giao dịch phi tập trung đã giới hạn lợi nhuận của kẻ tấn công ở dưới 250.000 USD. Chuỗi chính của Polkadot vẫn an toàn, và các token DOT gốc không bị ảnh hưởng bởi vụ vi phạm. Các nhà phát triển và kiểm toán viên hiện đang ưu tiên vá để thực thi các kiểm tra vai trò quản trị nghiêm ngặt và giải quyết lỗ hổng phát lại.

Các nền tảng phân tích on-chain hàng đầu như CoinGecko ghi nhận giá DOT dịch chuyển từ 1,23 USD xuống thấp nhất 1,17 USD trong những phút sau vụ khai thác trước khi ổn định quanh 1,19 USD. Các nhà phát triển Hyperbridge cam kết phối hợp với CertiK và các chuyên gia an ninh blockchain để tiến hành một cuộc rà soát sau sự cố đầy đủ, sửa chữa hợp đồng gateway và triển khai thêm các biện pháp bảo vệ quản trị. Cộng đồng Polkadot cũng đang xem xét các biện pháp quản trị giới hạn nguồn cung gần đây, nhấn mạnh sự cần thiết của các cuộc kiểm toán an toàn toàn diện đối với các giải pháp chuỗi chéo dựa trên bằng chứng mật mã. Sự cố này làm nổi bật rủi ro dai dẳng của các lỗ hổng cầu nối và tầm quan trọng của xác minh hình thức nghiêm ngặt trong phát triển hợp đồng thông minh.