波卡跨鏈橋漏洞在以太坊上鑄造10億DOT代幣

在 2026 年 4 月 13 日，Hyperbridge 跨鏈閘道在連接 Polkadot 與以太坊時發現一個關鍵的安全漏洞。根據安全公司 CertiK 的資料，攻擊者利用 Merkle Mountain Range 證明驗證中的重放漏洞，實現對以太坊上的橋接 DOT 合約的未授權管理存取。攻擊者鑄造了十億個假 DOT 代幣，並執行單一換幣交易，將全部流通量換成約 108.2 ETH（約 237,000 美元），之後由於流動性限制無法再出售。橋接 DOT 價格在受影響的流動池中崩跌，從約 1.22 美元跌至幾分錢，並在主要交易所造成 DOT 價格下跌約 5%，之後略有回升。

鏈上數據顯示，此漏洞約在 UTC 05:05 發生，偽造的狀態承諾證明繞過 tokengateway.handleChangeAdmin 函數的身分驗證檢查，使攻擊者能在以太坊上的 ERC-20 封裝 DOT 合約中擔任管理員角色，並產生無限的代幣供應。儘管鑄造規模龐大，但去中心化交易所的淺層流動性限制了攻擊者的利潤於約 25 萬美元以下。Polkadot 的主繼鏈仍然安全，原生 DOT 代幣未受此漏洞影響。開發者與審計人員現正優先修補，以嚴格檢查管理員角色並解決重放漏洞。

如 CoinGecko 等領先的鏈上分析平台在漏洞發生後的分鐘內記錄 DOT 的價格由 1.23 美元降至最低 1.17 美元，之後穩定在約 1.19 美元。Hyperbridge 開發團隊已承諾與 CertuK 及區塊鏈安全專家合作，進行全面的事後分析、修補閘道合約，並實施額外的治理保障。Polkadot 社群亦在審查最近的供應上限治理措施，強調在依賴密碼學證明的跨鏈解決方案中進行全面的安全審計之必要性。此事凸顯跨鏈橋漏洞的持續風險，以及在智能合約開發中嚴格形式驗證的重要性。