Un exploit qui a conduit à la frappe d'un milliard de jetons Polkadot (DOT) wrappés plus tôt cette semaine est encore pire que ce qui avait été initialement signalé, selon l'équipe derrière Hyperbridge.
Ce qui était initialement estimé à 237 000 $ de pertes de jetons liées au pont Polkadot-Ethereum est en réalité plus proche de 2,5 millions de dollars — soit une augmentation de plus de 10 fois par rapport au rapport initial.
« Un attaquant a exploité une vulnérabilité dans la logique de vérification de preuve Merkle Mountain Range (MMR), permettant au coupable de frapper des actifs et de vider les actifs séquestrés sur Token Gateway », a publié l'équipe dans un post-mortem jeudi.
The attacker extracted roughly 245 ETH from a related TokenGateway contract.
About an hour later, a forged cross-chain message bypassed MMR proof verification, allowing the attacker to mint 1 billion bridged DOT and dump them into thin liquidity.
— Hyperbridge (@hyperbridge) April 16, 2026
« Notre estimation publique initiale de la perte réalisée était d'environ 237 000 $, basée sur la vente immédiate observable de DOT pontés sur Ethereum », ont-ils ajouté. « Ce chiffre ne reflétait pas l'image complète, nous l'avons appris plus tard. »
En plus des 237 000 $ de pertes observables, un smart contract a été exploité pour 245 ETH, soit environ 561 000 $, quelques heures avant les frappes malveillantes de jetons DOT. De plus, trois blockchains connectées — Base, Arbitrum et BNB Chain — ont également été touchées, contredisant le rapport initial de l'équipe selon lequel seul le DOT wrappé sur Ethereum était affecté.
« Après la réconciliation de l'activité de l'attaquant sur chacune des quatre chaînes, la nature en deux phases de l'attaque, et les pertes des pools d'incitation associés, la perte totale réalisée révisée est d'environ 2,5 millions de dollars, libellée en ETH et DOT au moment de l'exploit », a-t-il été écrit.
Les fonds volés ont été tracés vers une adresse de dépôt sur Binance, et l'entreprise a sollicité l'équipe de conformité de l'échange centralisé et les forces de l'ordre compétentes dans le but de geler et de récupérer les actifs volés — mais elle ne s'attend pas à une résolution rapide.
« Nous explorons toutes les voies disponibles, mais le calendrier réaliste pour une récupération significative dans un cas de ce type se mesure en mois, et peut s'étendre jusqu'à un an », a-t-il été ajouté.
Bien que son objectif soit de dédommager tous les utilisateurs affectés en remboursant les fonds compromis, le protocole a indiqué qu'il est « engagé à une allocation structurée de jetons BRIDGE pour couvrir la perte résiduelle », s'il ne parvient pas à le faire.
Mais BRIDGE, son jeton de protocole natif, maintient des volumes extrêmement faibles, s'échangeant pour la dernière fois à 1 800 $ sur 24 heures lorsqu'il s'est négocié autour de 0,006 $ le 29 mars, selon les données de CoinGecko. À ce prix, le jeton avait une capitalisation boursière d'environ 858 000 $, soit environ un tiers des pertes totales de son exploit.
La fonctionnalité de pontage sur les quatre blockchains affectées reste suspendue, et ne reprendra qu'après le déploiement et l'audit d'un correctif.
« Cela ne change pas notre conviction que l'interopérabilité inter-chaînes n'est sécurisée que par des preuves cryptographiques », a écrit l'équipe du protocole.
« Ce que cet exploit a clairement montré, à grands frais, c'est que la logique de vérification nécessite des audits plus fréquents et des tests adversariaux à chaque couche de la pile », a-t-il été ajouté. « C'est la norme selon laquelle Token Gateway fonctionnera à l'avenir. »
