13 апреля 2026 года злоумышленник воспользовался уязвимостью в кросчейн-шлюзе Hyperbridge, соединяющем сети Polkadot и Ethereum. Согласно данным аналитической компании CertiK, атакующий использовал поддельное сообщение, чтобы получить права администратора в смарт-контракте токена DOT, представленного на блокчейне Ethereum (так называемого bridged DOT).
Обладая административным доступом, хакер в одной транзакции сгенерировал 1 миллиард необеспеченных токенов, после чего немедленно вывел весь объём на децентрализованные рынки. Трекер Lookonchain сообщил, что продажа всего объёма была осуществлена в рамках одной транзакции, принеся злоумышленнику 108,2 ETH, что на момент атаки составляло примерно 237 тысяч долларов США.
«Мы стали свидетелями эксплуатации уязвимости в шлюзовом контракте Hyperbridge. Злоумышленник использовал поддельное сообщение, чтобы изменить администратора контракта токена Polkadot на Ethereum и получил прибыль около 237 тысяч долларов, сгенерировав и продав 1 миллиард токенов», — сообщили в CertiK Alert.
Важно отметить, что атака затронула исключительно представление токена DOT на Ethereum, а не его нативную версию в сети Polkadot. Основная релейная цепь Polkadot и реальные токены DOT не пострадали. Относительно небольшой финансовый ущерб от инцидента эксперты связывают с низкой ликвидностью этого конкретного bridged-токена на Ethereum, что не позволило злоумышленнику извлечь большую прибыль.
На момент публикации новости официальные заявления от команд Polkadot и Hyperbridge отсутствовали, а полное техническое расследование (post-mortem) ещё не было опубликовано. Инцидент вновь подчеркнул системные риски, присущие кросчейн-мостам, где ошибки в валидации межсетевых сообщений могут приводить к несанкционированной эмиссии активов.
