Isang exploit na humantong sa pag-mint ng 1 bilyong wrapped Polkadot (DOT) tokens sa unang bahagi ng linggong ito ay mas malala pa kaysa sa orihinal na iniulat, ayon sa koponan sa likod ng Hyperbridge.
Ang orihinal na inakalang aabot sa $237,000 halaga ng pagkalugi sa token na konektado sa Polkadot-Ethereum bridge ay mas malapit sa $2.5 milyon—isang higit sa 10 beses na pagtaas mula sa unang ulat.
“Isang attacker ang nag-exploit ng kahinaan sa Merkle Mountain Range (MMR) proof verification logic, na nagpahintulot sa salarin na mag-mint ng mga asset at mag-drain ng mga escrowed assets sa Token Gateway,” ipinost ng team sa isang postmortem noong Huwebes.
Nakuha ng attacker ang humigit-kumulang 245 ETH mula sa isang kaugnay na TokenGateway contract.
Humigit-kumulang isang oras pagkatapos, isang huwad na cross-chain message ang lumampas sa MMR proof verification, na nagpahintulot sa attacker na mag-mint ng 1 bilyong bridged DOT at ibenta ang mga ito sa manipis na liquidity.
— Hyperbridge (@hyperbridge) April 16, 2026
“Ang aming unang pampublikong pagtatantya ng aktwal na pagkalugi ay humigit-kumulang $237,000, batay sa agad na nakikitang pagbebenta ng bridged DOT sa Ethereum,” dagdag nila. “Hindi nasakop ng bilang na iyon ang buong larawan, nalaman namin kalaunan.”
Bukod sa $237,000 sa nakikitang pagkalugi, isang smart contract ang na-exploit para sa 245 ETH o humigit-kumulang $561,000 oras bago ang malisyosong pag-mint ng DOT token. Bukod pa rito, tatlong konektadong blockchain—Base, Arbitrum, at BNB Chain—ay naapektuhan din, na sumasalungat sa orihinal na ulat ng team na tanging wrapped DOT sa Ethereum lamang ang apektado.
“Matapos ang pagtutugma ng aktibidad ng attacker sa bawat isa sa apat na chain, ang dalawang-yugtong kalikasan ng pag-atake, at ang mga pagkalugi mula sa mga kaugnay na incentive pool, ang binagong kabuuang aktwal na pagkalugi ay humigit-kumulang $2.5 milyon, na nakasaad sa ETH at DOT sa oras ng exploit,” isinulat nito.
Ang mga ninakaw na pondo ay natukoy sa isang deposit address sa Binance, at ang kumpanya ay nakipag-ugnayan sa compliance team ng centralized exchange at mga kinauukulang awtoridad sa pagpapatupad ng batas sa pagtatangkang i-freeze at mabawi ang mga ninakaw na asset—ngunit hindi ito umaasa ng agarang solusyon.
“Sinusundan namin ang bawat magagamit na channel, ngunit ang makatotohanang timeline para sa makabuluhang pagbawi sa ganitong uri ng kaso ay sinusukat sa mga buwan, at maaaring umabot ng hanggang isang taon,” dagdag nito.
Bagama't layunin nitong bayaran ang lahat ng apektadong user, ang protocol ay nagpahiwatig na ito ay “nakatuon sa isang nakabalangkas na alokasyon ng BRIDGE token upang takpan ang natitirang pagkalugi,” kung sakaling hindi ito makakagawa nito.
Ngunit ang BRIDGE, ang native protocol token nito, ay nagpapanatili ng napakababang volume, huling nag-trade ng $1,800 sa loob ng 24 oras nang ito ay nagpalit ng kamay sa humigit-kumulang $0.006 noong Marso 29, ayon sa datos mula sa CoinGecko. Sa puntong presyo na iyon, ang token ay may market cap na humigit-kumulang $858,000, halos isang-katlo ng kabuuang pagkalugi mula sa exploit nito.
Ang functionality ng bridging sa apat na apektadong blockchain ay nananatiling naka-pause, at magpapatuloy lamang matapos ma-deploy at ma-audit ang isang patch.
“Hindi nito binabago ang aming paniniwala na ang cross-chain interoperability ay secure lamang sa pamamagitan ng cryptographic proofs,” isinulat ng team ng protocol.
“Ang ginawa ng exploit na ito ay naging malinaw, sa magastos na paraan, na ang verification logic ay nangangailangan ng mas madalas na audits at adversarial testing sa bawat layer ng stack,” dagdag nito. “Iyan ang pamantayang susundin ng Token Gateway sa hinaharap.”
