Как создали 1 млрд токенов DOT из воздуха: разбор взлома Hyperbridge

Главное:

• Polkadot подтвердил, что проблема с мостом Hyperbridge (система для перевода токенов между блокчейнами) затронула только «перенесенные» $DOT-токены, а не основные активы внутри сети или связанные с ней проекты.
• В результате атаки было потеряно около $237,000: злоумышленник создал (фактически «напечатал») 1 млрд таких токенов. Это более чем в 2800 раз превышает реальное количество этих токенов в обращении.
• Команда Hyperbridge остановила работу моста, чтобы разобраться с уязвимостью в коде, связанной с проверкой данных (так называемая ошибка в логике проверки Merkle Mountain Range).

13 апреля 2026 года Polkadot опубликовал заявление после обнаружения проблемы безопасности в контракте, который соединяет сеть Ethereum с Hyperbridge. Компания подтвердила, что атака затронула именно перенесенные $DOT-токены в сети Ethereum. GetBlock AML Research разобрался в ситуации со взломом Hyperbridge.

Причина взлома Hyperbridge: ошибка в коде

Hyperbridge объяснила, что ее система специально создавалась для снижения рисков — она использует математические доказательства из блокчейна вместо доверия к отдельным людям или группам. Это означает, что сама концепция безопасности не была сломана.

Согласно расследованию, причиной стала ошибка в программном коде (на языке Solidity), отвечающем за проверку данных. Эта ошибка позволяла системе принимать поддельные подтверждения как настоящие.

Из-за этой уязвимости злоумышленник смог обойти проверки безопасности. В результате он получил контроль над контрактом токенов и смог создать огромное количество новых токенов. Хакер выпустил 1 миллиард токенов, что более чем в 2800 раз превышает реальное количество (около 356,000).

Уязвимости в коде, которые стали причиной взлома

После этого новые токены быстро были отправлены на децентрализованные торговые площадки и проданы. Hyperbridge заявила, что продолжает работать с партнерами по безопасности, чтобы отследить движение средств и попытаться вернуть их. Также команда пообещала делиться новыми подробностями по мере расследования.

Что произошло с токенами $DOT и какие риски остались

В заявлении говорится: «Мы знаем о проблеме, затрагивающей контракт Hyperbridge в сети Ethereum». При этом подчеркивается, что проблема ограничена конкретной частью системы и не затронула всю сеть Polkadot.

Команда также уточнила: «Атака касается только $DOT-токенов в Ethereum, которые были перенесены через Hyperbridge. Она не влияет на токены внутри самой экосистемы Polkadot или на токены, переведенные через другие мосты».

Таким образом, основные токены $DOT внутри сети (включая ее главную цепочку и связанные проекты) не пострадали. В качестве меры предосторожности все операции через затронутый мост были временно остановлены.

Polkadot сообщил: «Работа Hyperbridge приостановлена до выяснения причин». Это решение было принято сразу после обнаружения подозрительной активности.

Позже команда Hyperbridge опубликовала подробный разбор инцидента.

В нем говорится: «13 апреля 2026 года уязвимость в системе перевода токенов Hyperbridge была использована злоумышленником, что привело к потерям около $237,000 в сети Ethereum».

Платформа также отметила, что многие подобные системы перевода средств между блокчейнами зависят от группы проверяющих или специальных разрешений. Это создает дополнительные риски. В целом, такие уязвимости уже привели к потерям более $2 млрд в индустрии.

Источник