Een exploit die eerder deze week leidde tot het minten van 1 miljard wrapped Polkadot (DOT) tokens is zelfs erger dan oorspronkelijk gemeld, volgens het team achter Hyperbridge.
Wat oorspronkelijk werd gedacht neer te komen op $237.000 aan tokenverliezen in verband met de Polkadot-Ethereum bridge, is in feite dichter bij $2,5 miljoen—een meer dan 10x toename ten opzichte van het oorspronkelijke rapport.
“Een aanvaller exploiteerde een kwetsbaarheid in de Merkle Mountain Range (MMR) proof verificatielogica, waardoor de dader activa kon minten en geëscrowde activa op Token Gateway kon legen,” postte het team in een postmortem op donderdag.
De aanvaller onttrok ongeveer 245 ETH uit een gerelateerd TokenGateway-contract.
Ongeveer een uur later omzeilde een vervalst cross-chain bericht de MMR proof verificatie, waardoor de aanvaller 1 miljard overbrugde DOT kon minten en deze in dunne liquiditeit kon dumpen.
— Hyperbridge (@hyperbridge) April 16, 2026
“Onze initiële publieke schatting van het gerealiseerde verlies was ongeveer $237.000, gebaseerd op de onmiddellijk waarneembare verkoop van overbrugde DOT op Ethereum,” voegden ze eraan toe. “Dat cijfer gaf niet het volledige beeld weer, zo leerden we later.”
Naast de $237.000 aan waarneembare verliezen, werd een smart contract geëxploiteerd voor 245 ETH of ongeveer $561.000, uren voordat de kwaadaardige DOT token mintingen plaatsvonden. Bovendien werden drie verbonden blockchains—Base, Arbitrum en BNB Chain—ook getroffen, wat in tegenspraak was met het oorspronkelijke rapport van het team dat alleen wrapped DOT op Ethereum werd beïnvloed.
“Na reconciliatie van de aanvalleractiviteit over elk van de vier ketens, de tweefasige aard van de aanval, en verliezen uit de bijbehorende incentive pools, bedraagt het herziene totale gerealiseerde verlies ongeveer $2,5 miljoen, uitgedrukt in ETH en DOT op het moment van de exploit,” schreef het.
De gestolen fondsen zijn getraceerd naar een stortingsadres op Binance, en het bedrijf heeft contact opgenomen met het compliance-team van de gecentraliseerde exchange en relevante wetshandhaving in een poging de gestolen activa te bevriezen en terug te vorderen—maar het verwacht niet snel een oplossing.
“We benutten alle beschikbare kanalen, maar de realistische termijn voor een significant herstel in een geval van dit type wordt gemeten in maanden en kan oplopen tot een jaar,” voegde het eraan toe.
Hoewel het doel is om alle getroffen gebruikers schadeloos te stellen en gecompromitteerde fondsen terug te betalen, gaf het protocol aan dat het zich “inzet voor een gestructureerde BRIDGE token allocatie om het resterende verlies te dekken,” mocht het hiertoe niet in staat zijn.
Maar BRIDGE, de native protocol token, handhaaft extreem lage volumes, en handelde laatst voor $1.800 over 24 uur toen het op 29 maart werd verhandeld voor ongeveer $0,006, volgens gegevens van CoinGecko. Tegen die prijs had de token een marktkapitalisatie van ongeveer $858.000, ongeveer een derde van de totale verliezen door de exploit.
De bridging-functionaliteit op de vier getroffen blockchains blijft gepauzeerd en wordt pas hervat nadat een patch is geïmplementeerd en geaudit.
“Dit verandert niets aan onze overtuiging dat cross-chain interoperabiliteit alleen veilig is door cryptografische bewijzen,” schreef het protocolteam.
“Wat deze exploit, op dure wijze, duidelijk heeft gemaakt, is dat verificatielogica frequentere audits en adversariële testen nodig heeft op elke laag van de stack,” voegde het eraan toe. “Dat is de standaard waaronder Token Gateway voortaan zal opereren.”
