Hyökkääjä loi miljardin dollarin arvosta Polkadot-tokeneita…

Kryptovaluuttojen hakkerointi ei ole uutta, mutta tapaukset, joissa hyökkääjä ottaa suuria riskejä ja päätyy pieniin voittoihin, ovat harvinaisia. Tällainen skenaario toteutui sunnuntaina, kun hyökkääjä käytti hyväkseen Hyperbridge’n cross-chain-sillan haavoittuvuutta. Tuloksena syntyi miljardi Polkadot-tokenia Ethereumissa, mutta hyökkääjä onnistui varastamaan vain noin 237 000 dollaria etherinä.

Hyökkäyksen kulku

Hyökkäys kohdistui Hyperbridge’n EthereumHost-sopimukseen, joka validioi eri lohkoketjujen välisiä viestejä ennen niiden siirtämistä TokenGatewaylle. On-chain-tiedot osoittavat, että hyökkääjä lähetti väärennetyn viestin dispatchIncoming-toiminnon kautta, joka reititettiin TokenGateway.onAcceptiin. Viestin tarkistus, jonka olisi pitänyt varmistaa Polkadotista tuleva sitoumus, tallensi nollan arvon, mikä viittaa siihen, että todentaminen puuttui tai se oli ohitettavissa tässä kutsussa.

Silta käsitteli viestin laillisena ja suoritti changeAdmin-toiminnon Polkadot-token-sopimuksessa, siirtäen admin-oikeudet hyökkääjän osoitteeseen. Tämän jälkeen hyökkääjä loi miljardi tokenia yhdessä transaktiossa ja myi ne Odos Router V3:n kautta Uniswap V4:n DOT-ETH-poolissa, saaden noin 108,2 ETH:ta useissa kaupoissa.

Likviditeetti rajoitti voittoja

Heikko likviditeetti Ethereumissa olevassa DOT-poolissa esti suuremmat voitot. Miljardi tokenia ylitti saatavilla olevan syvyyden, joten hyökkääjä sai vain murto-osan senttiä per token. Jos pooli olisi ollut syvempi tai kohde arvokkaampi, tappiot olisivat voineet olla merkittävästi suuremmat. Polkadotin natiivi DOT-token ei kärsinyt hyökkäyksestä, ja sen hinta oli maanantaina Aasian aamutunneilla hieman alle 1,20 dollaria.

Laajempi konteksti

Tämä tapaus lisää vuoden 2026 siltahaavoittuvuuksien listaa. Viime kuussa Solanan Drift Protocolista vietiin 270 miljoonaa dollaria, ja kyseessä oli sosiaalinen manipulointi eikä koodivirhe. Sillat ovat heikko lenkki cross-chain-arkkitehtuurissa, sillä ne hallinnoivat token-sopimuksia kohdeketjuissa, ja yksittäinen validointivirhe voi mahdollistaa rajattoman minttauksen.

CertiK vahvisti hyökkäyksen kohdistuneen Hyperbridge’n gateway-sopimukseen ja hyökkääjän voiton olleen noin 237 000 dollaria. Hyperbridge ei ole kommentoinut tapausta julkisesti eikä kertonut, ovatko muut sillan kautta kulkevat token-sopimukset alttiita samanlaiselle väärennetylle viestille.

Pähkinänkuoressa

• Hyökkääjä loi miljardi Polkadot-tokenia Ethereumissa Hyperbridge-sillan haavoittuvuuden avulla.
• Voitto jäi noin 237 000 dollariin heikon likviditeetin vuoksi.
• Polkadotin natiivi DOT-token ei kärsinyt, ja hyökkäys kohdistui vain siltaan.
• Sillat ovat edelleen heikko lenkki kryptovaluuttojen cross-chain-liikenteessä.

UKK – useimmin kysytyt

Mikä oli hyökkäyksen kohde?

Hyökkäys kohdistui Hyperbridge’n cross-chain-sillan EthereumHost-sopimukseen, ei Polkadotin ydinverkkoon.

Kuinka paljon hyökkääjä varasti?

Hyökkääjä myi luodut tokenit noin 237 000 dollarin arvosta etherinä.

Vaikuttiko tämä Polkadotin DOT-hintaan?

Ei, natiivi DOT-token oli unaffected, ja sen hinta oli noin 1,20 dollaria hyökkäyksen jälkeen.

Onko Hyperbridge kommentoinut tapausta?

Hyperbridge ei ole julkisesti kommentoinut exploitia tai mahdollista haavoittuvuutta muissa sopimuksissa.