Ein Exploit, der Anfang dieser Woche zur Prägung von 1 Milliarde Wrapped Polkadot (DOT)-Token führte, ist noch schlimmer als ursprünglich berichtet, so das Team hinter Hyperbridge.
Was ursprünglich als Token-Verluste in Höhe von 237.000 US-Dollar im Zusammenhang mit der Polkadot-Ethereum-Bridge angenommen wurde, beläuft sich tatsächlich auf fast 2,5 Millionen US-Dollar – eine mehr als 10-fache Steigerung gegenüber dem ursprünglichen Bericht.
„Ein Angreifer nutzte eine Schwachstelle in der Merkle Mountain Range (MMR) Proof-Verifizierungslogik aus, wodurch der Täter Assets prägen und hinterlegte Assets auf Token Gateway abziehen konnte“, veröffentlichte das Team in einem Postmortem-Bericht am Donnerstag.
The attacker extracted roughly 245 ETH from a related TokenGateway contract.
About an hour later, a forged cross-chain message bypassed MMR proof verification, allowing the attacker to mint 1 billion bridged DOT and dump them into thin liquidity.
— Hyperbridge (@hyperbridge) April 16, 2026
„Unsere anfängliche öffentliche Schätzung des realisierten Verlusts betrug ungefähr 237.000 US-Dollar, basierend auf dem unmittelbar beobachtbaren Ausverkauf von Bridged DOT auf Ethereum“, fügten sie hinzu. „Diese Zahl erfasste nicht das vollständige Bild, wie wir später feststellten.“
Zusätzlich zu den beobachtbaren Verlusten von 237.000 US-Dollar wurde ein Smart Contract Stunden vor den bösartigen DOT-Token-Prägungen um 245 ETH oder rund 561.000 US-Dollar ausgebeutet. Außerdem waren drei verbundene Blockchains – Base, Arbitrum und BNB Chain – ebenfalls betroffen, was dem ursprünglichen Bericht des Teams widerspricht, wonach nur Wrapped DOT auf Ethereum betroffen war.
„Nach Abgleich der Angreiferaktivität über alle vier Ketten, der Zwei-Phasen-Natur des Angriffs und der Verluste aus den zugehörigen Incentive-Pools beträgt der revidierte gesamte realisierte Verlust ungefähr 2,5 Millionen US-Dollar, denominiert in ETH und DOT zum Zeitpunkt des Exploits“, hieß es.
Die gestohlenen Gelder wurden zu einer Einzahlungsadresse auf Binance zurückverfolgt, und das Unternehmen hat das Compliance-Team der zentralisierten Börse und die zuständigen Strafverfolgungsbehörden eingeschaltet, um die gestohlenen Vermögenswerte einzufrieren und wiederherzustellen – erwartet jedoch keine schnelle Lösung.
„Wir verfolgen jeden verfügbaren Kanal, aber der realistische Zeitrahmen für eine sinnvolle Wiederherstellung in einem Fall dieser Art wird in Monaten gemessen und kann bis zu einem Jahr dauern“, fügten sie hinzu.
Während es das Ziel ist, alle betroffenen Nutzer zu entschädigen und kompromittierte Gelder zurückzuzahlen, deutete das Protokoll an, dass es „sich einer strukturierten BRIDGE-Token-Zuteilung zur Deckung des Restverlusts verpflichtet fühlt“, sollte dies nicht möglich sein.
BRIDGE, der native Protokoll-Token, weist jedoch extrem geringe Volumina auf und wurde zuletzt am 29. März für rund 0,006 US-Dollar mit einem Handelsvolumen von 1.800 US-Dollar über 24 Stunden gehandelt, laut Daten von CoinGecko. Zu diesem Preis hatte der Token eine Marktkapitalisierung von rund 858.000 US-Dollar, etwa ein Drittel der Gesamtverluste aus dem Exploit.
Die Bridge-Funktionalität auf den vier betroffenen Blockchains bleibt pausiert und wird erst wieder aufgenommen, nachdem ein Patch implementiert und geprüft wurde.
„Dies ändert nichts an unserer Überzeugung, dass Cross-Chain-Interoperabilität nur durch kryptografische Beweise sicher ist“, schrieb das Protokollteam.
„Was dieser Exploit auf kostspielige Weise deutlich gemacht hat, ist, dass die Verifizierungslogik häufigere Audits und adversarielles Testing auf jeder Ebene des Stacks benötigt“, fügten sie hinzu. „Das ist der Standard, unter dem Token Gateway in Zukunft arbeiten wird.“
