Сегодня ночью кто-то провернул трюк, который выглядит одновременно впечатляюще и грустно. Атакующий отчеканил 1 миллиард бриджевых DOT на Ethereum и тут же слил весь объём в одной транзакции, получив 108,2 ETH — примерно $237 000. Цифра «миллиард токенов» звучит катастрофически. Реальный ущерб — меньше недельного бюджета на рекламу среднего крипто-проекта.
Разбираемся, что именно сломалось и почему это важно — даже если потери оказались смешными.
Что такое Hyperbridge и почему он вообще существует
Коротко: Hyperbridge — это кросс-чейн мост, разработанный Polytope Labs. Вместо мультисигов и доверенных валидаторов он использует криптографические доказательства консенсуса, чтобы верифицировать состояние одной сети прямо в смарт-контракте другой.
Позиционирование проекта — «мы не доверяем людям, мы доверяем математике». Основатель Polytope Labs Сеун Ланлеге настаивал: безопасность моста определяется механизмом аутентификации, а не репутацией подписантов. Поэтому — замена мультисиг-комитетов на доказательства финальности блоков.
Красиво на бумаге. Посмотрим, что пошло не так.
Как прошла атака: шаг за шагом
Атака развернулась через ISMP — Interoperable State Machine Protocol, механизм кросс-чейн обмена сообщениями Hyperbridge. Атакующий задеплоил два контракта в одной транзакции — мастер-контракт и вспомогательный.
Дальше — классика жанра, но с нюансом:
Вспомогательный контракт подал поддельные стейт-пруфы в уязвимый контракт HandlerV1 (адрес 0x6c8…4E6D64). Проверка не сработала. Через вызов TokenGateway.onAccept() была выполнена вредоносная операция ChangeAssetAdmin — атакующий получил права администратора и минтера над контрактом DOT-токена (0x8d…8F90b8) на Ethereum.
Имея права минтера, дальше всё просто: атакующий отчеканил ровно 1 миллиард DOT — это примерно в 2805 раз больше всего существовавшего тогда бриджевого запаса (около 356 000 токенов). Затем весь объём был прогнан через OdosRouter и пулы Uniswap V4 и конвертирован в ETH.
Корень проблемы — недостаточная верификация стейт-пруфов в ISMP-пайплайне, что позволило выполнить несанкционированные административные действия над подключёнными токен-контрактами.
Почему ущерб оказался таким маленьким
Парадокс в том, что атакующий сделал почти всё правильно с технической стороны — и всё равно «заработал» ничтожно мало. Причина — ликвидность.
Бриджевый DOT упал с примерно $1,22 до долей цента. Но продать 1 миллиард токенов можно только на ту ликвидность, которая есть в пуле — а её там было совсем немного.
Цена нативного DOT на внешних биржах просела примерно на 4,8%, до $1,16. Панику вызвала цифра «миллиард токенов», а не реальный экономический ущерб.
Кстати, это был не первый удар за день: ранее тем же вектором атакующий вывел около $12 000 в токенах MANTA и CERE. Судя по всему, отрабатывал схему на меньших суммах.
Что важно понять разработчикам
Атака на Hyperbridge — это не «взломали криптографию». Математика устояла. Сломалась реализация: логика проверки входящих сообщений в конкретном контракте.
Несколько выводов для тех, кто строит кросс-чейн протоколы:
1. Разделяй привилегии. Права минтера над токен-контрактом не должны меняться через одну кросс-чейн транзакцию без дополнительного уровня подтверждений или таймлока.
2. Проверяй источник сообщения, а не только его формат. Поддельный пруф прошёл, потому что HandlerV1 недостаточно верифицировал происхождение стейт-пруфа — он проверял структуру, но не криптографическую привязку к реальному состоянию цепи.
3. Лимитируй административные действия. ChangeAssetAdmin — это операция с необратимыми последствиями. Такие вызовы должны требовать дополнительных гарантий: мультисига на стороне Ethereum, rate limit или отдельного governance-процесса.
4. Маленькая ликвидность в пулах — не защита. Сегодня повезло. Если бы в пуле лежало $50M, история была бы другой.
Контекст: Hyperbridge позиционировался как «самый безопасный мост»
Ещё в ноябре 2025 года команда выставила баунти на $250 000 на платформах Immunefi, Cantina и Hacken и заявляла, что критических уязвимостей найдено не было. Баг прилетел уже после этого.
Важно: нативная сеть Polkadot и DOT-токен на relay chain не пострадали. Атака затронула только бриджевое, «обёрнутое» представление DOT на Ethereum. Официальных заявлений от Hyperbridge или Polytope Labs на момент публикации не поступало.
Эксплойт на $237k при миллиарде отчеканенных токенов — это почти анекдот. Но техническая суть инцидента серьёзная: в протоколе, который строил свою репутацию на отказе от доверия к людям, подделанное сообщение прошло проверку и получило административный доступ. Математика была правильной — реализация нет.
UPD: следим за официальными заявлениями команды Polytope Labs.
Источники
# | Источник | Дата |
1 | CertiK Alert — оповещение об эксплойте контракта Hyperbridge gateway, Twitter/X | 13 апреля 2026 |
2 | CryptoTimes — «Polkadot Hack: Attacker Exploits Ethereum Contract and Mints 1B DOT Tokens» | 13 апреля 2026 |
3 | Yahoo Finance / BeInCrypto — «Bridged Polkadot Reportedly Hit by Exploit as Attacker Mints 1 Billion DOT Tokens» | 13 апреля 2026 |
4 | Phemex News — «Hyperbridge Gateway Exploit Results in $237K Loss» | 13 апреля 2026 |
5 | Yellow.com — «Polkadot Bridge Exploit Lets Attacker Mint 1B DOT Tokens On Ethereum» | 13 апреля 2026 |
