Eksploitasi yang menyebabkan pencetakan 1 miliar token wrapped Polkadot (DOT) awal pekan ini ternyata lebih buruk dari yang dilaporkan semula, menurut tim di balik Hyperbridge.
Apa yang semula diperkirakan mencapai $237.000 kerugian token yang terkait dengan jembatan Polkadot-Ethereum sebenarnya mendekati $2,5 juta—peningkatan lebih dari 10 kali lipat dari laporan awal.
“Seorang penyerang mengeksploitasi kerentanan dalam logika verifikasi bukti Merkle Mountain Range (MMR), memungkinkan pelaku untuk mencetak aset dan menguras aset yang di-escrow di Token Gateway,” posting tim dalam laporan postmortem Kamis.
Penyerang mengekstrak sekitar 245 ETH dari kontrak TokenGateway terkait.
Sekitar satu jam kemudian, pesan lintas-rantai palsu melewati verifikasi bukti MMR, memungkinkan penyerang untuk mencetak 1 miliar DOT yang dijembatani dan membuangnya ke dalam likuiditas yang tipis.
— Hyperbridge (@hyperbridge) April 16, 2026
“Perkiraan awal kami tentang kerugian yang terealisasi adalah sekitar $237.000, berdasarkan penjualan DOT yang dijembatani yang segera terlihat di Ethereum,” tambah mereka. “Angka itu tidak mencerminkan gambaran lengkap, seperti yang kemudian kami ketahui.”
Selain kerugian yang terlihat sebesar $237.000, sebuah smart contract dieksploitasi untuk 245 ETH atau sekitar $561.000 beberapa jam sebelum pencetakan token DOT yang berbahaya. Selain itu, tiga blockchain yang terhubung—Base, Arbitrum, dan BNB Chain—juga terdampak, bertentangan dengan laporan awal tim bahwa hanya wrapped DOT di Ethereum yang terpengaruh.
“Setelah rekonsiliasi aktivitas penyerang di keempat rantai, sifat dua fase serangan, dan kerugian dari kumpulan insentif terkait, total kerugian terealisasi yang direvisi adalah sekitar $2,5 juta, dinominasikan dalam ETH dan DOT pada saat eksploitasi,” tulisnya.
Dana yang dicuri telah dilacak ke alamat deposit di Binance, dan perusahaan telah melibatkan tim kepatuhan bursa terpusat tersebut serta penegak hukum terkait dalam upaya membekukan dan memulihkan aset yang dicuri—tetapi tidak mengharapkan resolusi dalam waktu dekat.
“Kami sedang mengupayakan setiap saluran yang tersedia, tetapi jangka waktu realistis untuk pemulihan yang berarti dalam kasus semacam ini diukur dalam hitungan bulan, dan dapat memakan waktu hingga satu tahun,” tambahnya.
Meskipun tujuannya adalah untuk mengganti rugi semua pengguna yang terdampak, mengembalikan dana yang telah dikompromikan, protokol tersebut mengindikasikan bahwa mereka “berkomitmen pada alokasi token BRIDGE yang terstruktur untuk menutupi sisa kerugian,” jika tidak dapat melakukannya.
Namun BRIDGE, token protokol aslinya, mempertahankan volume yang sangat rendah, terakhir diperdagangkan $1.800 selama 24 jam ketika diperjualbelikan sekitar $0,006 pada 29 Maret, menurut data dari CoinGecko. Pada titik harga tersebut, token tersebut memiliki kapitalisasi pasar sekitar $858.000, sekitar sepertiga dari total kerugian akibat eksploitasinya.
Fungsionalitas bridging di keempat blockchain yang terdampak tetap dihentikan, dan hanya akan dilanjutkan setelah patch diterapkan dan diaudit.
“Ini tidak mengubah keyakinan kami bahwa interoperabilitas lintas-rantai hanya aman melalui bukti kriptografis,” tulis tim protokol.
“Apa yang telah diperjelas oleh eksploitasi ini, dengan biaya mahal, adalah bahwa logika verifikasi membutuhkan audit yang lebih sering dan pengujian adversari di setiap lapisan tumpukan,” tambahnya. “Itulah standar yang akan diterapkan Token Gateway ke depannya.”
