Хакер взломал Hyperbridge - протокол межсетевой совместимости между Polkadot и Ethereum. Злоумышленник отчеканил 1 миллиард бриджованных токенов Polkadot на Ethereum в одной транзакции, но из-за низкой ликвидности в пуле вывел лишь 108,2 ETH - около $237 000. Нативные DOT-токены и сеть Polkadot не пострадали.
Как хакер получил контроль над контрактом
По данным киберплатформы CertiK, злоумышленник провёл через протокол поддельное сообщение, которое изменило адрес администратора смарт-контракта DOT-токена на Ethereum. Это дало полный контроль над механизмом чеканки. Хакер воспользовался правами и выпустил 1 млрд токенов без реального обеспечения.
Ограниченная ликвидность в пуле стала естественным барьером. Вместо потенциальных миллиардов злоумышленник получил лишь 108,2 ETH - всё, что физически было доступно для обмена. Остальные отчеканенные токены остались без выхода в ликвидные активы. Протокол рекламировал себя как решение с полноузловой безопасностью для кроссчейн-мостов - атака поставила эти утверждения под серьёзное сомнение.
Детали инцидента
Техническая причина: уязвимость в MMR-доказательствах
Компания Blocksec Falcon назвала вероятную техническую причину: уязвимость повторного использования доказательств Merkle Mountain Range (MMR) из-за отсутствия привязки доказательства к конкретному запросу. Проще говоря, протокол не проверял, соответствует ли криптографическое доказательство именно этому вызову - и злоумышленник вставил старое действительное доказательство в новый запрос.
Контрибьютор Hyperbridge Web3 Philosopher подтвердил, что первичный анализ указывает на вредоносное доказательство, обманувшее верификатор дерева Меркла. Финальную причину атаки команда ещё уточняет. MMR-уязвимости в мостах - давняя проблема отрасли. Риск в том, что одно доказательство может авторизовать разные действия, если протокол не привязывает его к конкретному контексту.
Реакция и более широкий контекст
Hyperbridge приостановил работу сразу после обнаружения атаки, пока команда готовит апгрейд. Polkadot в своём X-посте подтвердил, что нативные DOT-токены и основная сеть в безопасности. Токен DOT отреагировал падением до дневного минимума $1,16, но быстро восстановился выше $1,19.
Этот взлом - не единственный за последние дни. В воскресенье протокол SubQuery Network потерял $130 000 из-за отсутствия контроля доступа в коде двухлетней давности. По итогам первого квартала 2026 года DeFi-хакеры украли $168 млн из 34 протоколов - значительно меньше, чем $1,58 млрд за тот же период 2025 года. Но атаки на кроссчейн-мосты продолжаются - и этот кейс показывает: даже доказательная архитектура уязвима, если логика проверки имеет пробелы.
Комментарии
Ваш e-mail адрес не будет опубликован. Обязательные поля отмечены *