Hackers stalen $237.000 bij de Bridged-Polkadot-exploit na het minten van 1 miljard DOT en deze om te zetten naar 108 ETH

Hackers hebben eerder vandaag misbruik gemaakt van een kwetsbaarheid in het Ethereum gateway-contract van de Hyperbridge cross-chain bridge, waarbij ze 1 miljard ongeautoriseerde wrapped Polkadot (DOT) tokens hebben gemint en deze hebben geruild voor ongeveer 108,2 ETH, ter waarde van minstens $237.000 in één transactie.
De aanval, die plaatsvond rond 3:55 uur UTC, richtte zich alleen op gebridgede DOT-activa op Ethereum en liet Polkadot's eigen blockchain, parachains, staking en governance onaangetast. Hyperbridge, een op Polkadot gebaseerd interoperabiliteitsprotocol dat activa over chains verbindt met behulp van zijn Interoperability State Machine Protocol (ISMP), bevestigde de inbreuk in een bericht op X kort nadat deze werd ontdekt. "Een exploit trof een van onze Ethereum-contracten," verklaarde het team. "We hebben alle bridging gepauzeerd en partners geadviseerd om gerelateerde transacties te stoppen terwijl het team het probleem aanpakt."

Het officiële account van Polkadot herhaalde uren later de geruststelling. "We zijn op de hoogte van een probleem dat het Ethereum gateway-contract van @hyperbridge treft," postte het.

"De exploit treft alleen DOT op Ethereum die via Hyperbridge is gebridged en heeft geen invloed op DOT in het Polkadot-ecosysteem of DOT die via andere bridges is gebridged. Polkadot, zijn parachains en native DOT blijven veilig en onaangetast."

De mechaniek van de Bridged-Polkadot exploit

​Geverifieerd door on-chain analisten en beveiligingsbedrijven, waaronder CertiK, werd de exploit uitgevoerd in blok 24.868.295 via transactie hash 0x240a…1109. De wallet van de aanvaller (0xC513…F8E7), een 33 dagen oud adres, implementeerde een kwaadaardig subcontract en diende vervalste Polkadot consensus-bewijzen in via het HandlerV1-contract.

Beveiligingsonderzoekers traceerden de hoofdoorzaak naar een trio van kritieke fouten. Ten eerste was de challenge-periode van de bridge ingesteld op nul, waardoor elk geschillenvenster werd verwijderd en de vervalste state commitment onmiddellijk kon worden geaccepteerd. Ten tweede was er onvoldoende validatie in de proof verification-functie van het HandlerV1-contract. Ten slotte miste het consensus client-contract (0xA0Ad…669a) publieke broncodeverificatie. Maandenlang voorbereidend, financierde de aanvaller met succes de wallet via privacytools, waaronder Railgun zk-shielded pools en Synapse Bridge, en voerde testimplementaties uit op een live state voor de aanval.

Eenmaal in controle, veranderde de aanvaller de admin van het gebridgede DOT token-contract (0x8d01…90b8) en mintte de volledige 1 miljard tokens. Het nepvoorraad werd vervolgens gerouteerd via gedecentraliseerde exchange-routers, waaronder Uniswap V4, waarbij de beschikbare liquiditeitspools werden geleegd. De swap leverde 108,2 ETH op voordat MEV-bots delen van de exploit repliceerden op andere door Hyperbridge gewrapte activa zoals ARGN, MANTA en CERE. De totale gerealiseerde verliezen over het incident worden geschat op $250.000 wanneer secundaire extracties worden meegerekend, hoewel de primaire buit beperkt bleef door dunne liquiditeit.

Lees ook: Trump-gerelateerde World Liberty Financial (WLFI) klaagt Justin Sun aan in een $75 miljoen DeFi-geschil
Het incident veroorzaakte onmiddellijke marktreacties. Gebridgede DOT-prijzen in getroffen pools stortten in van ongeveer $1,22 naar bijna nul. Zuid-Koreaanse exchanges Upbit en Bithumb pauzeerden DOT-stortingen en opnames uit voorzorg. Geleveragede posities zagen meer dan $728.000 aan liquidaties, en bredere DeFi-liquiditeit verbonden aan door Hyperbridge gewrapte activa ondervond tijdelijke verstoringen, waarbij ongeveer $20 miljoen aan notionele waarde uit pools werd weggevaagd.
Hyperbridge drijft meerdere ERC-6160 tokens van Polkadot parachains, waardoor de gateway een gedeeld faalpunt is voor verschillende gebridgede activa. Het EthereumHost-contract werd later volledig bevroren om verdere schade te voorkomen. Op het moment van het indienen van dit rapport werden de fondsen van de aanvaller waargenomen terwijl ze door extra Railgun-opnames bewogen in stappen van 15 ETH naar nieuwe exit-wallets, zonder dat er nog grote bridge-outs werden gedetecteerd.

Dit markeert de nieuwste in een reeks bridge-gerelateerde exploits die gedecentraliseerde financiën hebben geteisterd, waar historisch miljarden zijn verloren door proof validation-hiaten en configuratiefouten. Hyperbridge had zichzelf gepositioneerd als een veilig, cryptografisch geverifieerd alternatief dat gebruikmaakt van Polkadot's GRANDPA en BEEFY consensus-mechanismen. De aanval benadrukt hoe zelfs geavanceerde ontwerpen kunnen falen wanneer belangrijke parameters zoals challenge-periodes worden geminimaliseerd of wanneer upstream verificatiecontracten publieke broncode-audits missen.
Er is nog geen volledig forensisch rapport van Hyperbridge of Polkadot vrijgegeven terwijl de onderzoeken doorgaan. Blockchain-beveiligingsbedrijven CertiK en onafhankelijke analisten blijven de bewegingen van de aanvaller monitoren. Het incident dient als een herinnering aan de aanhoudende risico's in cross-chain infrastructuur, zelfs voor protocollen gebouwd op gevestigde netwerken zoals Polkadot.