Exploit, który doprowadził do wybicia 1 miliarda tokenów wrapped Polkadot (DOT) na początku tego tygodnia, jest jeszcze gorszy niż pierwotnie informowano, według zespołu stojącego za Hyperbridge.
To, co początkowo szacowano na 237 000 dolarów strat w tokenach związanych z mostem Polkadot-Ethereum, jest faktycznie bliższe 2,5 miliona dolarów — ponad 10-krotny wzrost w stosunku do początkowego raportu.
„Atakujący wykorzystał lukę w logice weryfikacji dowodów Merkle Mountain Range (MMR), co pozwoliło sprawcy wybijać aktywa i opróżniać zabezpieczone aktywa na Token Gateway” – poinformował zespół w czwartkowym raporcie postmortem.
The attacker extracted roughly 245 ETH from a related TokenGateway contract.
About an hour later, a forged cross-chain message bypassed MMR proof verification, allowing the attacker to mint 1 billion bridged DOT and dump them into thin liquidity.
— Hyperbridge (@hyperbridge) April 16, 2026
„Nasze początkowe publiczne oszacowanie zrealizowanych strat wynosiło około 237 000 dolarów, w oparciu o natychmiastowo obserwowalną wyprzedaż zmostkowanych DOT na Ethereum” – dodali. „Ta liczba nie oddawała pełnego obrazu, jak później się dowiedzieliśmy”.
Oprócz 237 000 dolarów widocznych strat, smart kontrakt został wykorzystany do kradzieży 245 ETH, czyli około 561 000 dolarów, na kilka godzin przed złośliwym wybiciem tokenów DOT. Ponadto, trzy powiązane blockchainy – Base, Arbitrum i BNB Chain – również zostały dotknięte, co zaprzeczało pierwotnemu raportowi zespołu, że tylko wrapped DOT na Ethereum był zagrożony.
„Po uzgodnieniu aktywności atakującego we wszystkich czterech łańcuchach, dwufazowej naturze ataku i stratach z powiązanych pul motywacyjnych, skorygowana całkowita zrealizowana strata wynosi około 2,5 miliona dolarów, denominowana w ETH i DOT w momencie exploita” – napisał.
Skradzione środki zostały namierzone do adresu depozytowego na Binance, a firma zaangażowała zespół ds. zgodności scentralizowanej giełdy oraz odpowiednie organy ścigania w celu zamrożenia i odzyskania skradzionych aktywów – ale nie spodziewa się szybkiego rozwiązania.
„Wykorzystujemy wszystkie dostępne kanały, ale realistyczny czas na znaczące odzyskanie środków w tego typu sprawie jest mierzony w miesiącach i może trwać nawet do roku” – dodano.
Chociaż jego celem jest zrekompensowanie strat wszystkim poszkodowanym użytkownikom, spłacając środki, które zostały naruszone, protokół wskazał, że „jest zobowiązany do strukturyzowanej alokacji tokenów BRIDGE w celu pokrycia pozostałych strat”, jeśli nie będzie w stanie tego zrobić.
Jednak BRIDGE, jego natywny token protokołu, utrzymuje niezwykle niskie wolumeny, ostatnio handlowano nim za 1800 dolarów przez 24 godziny, gdy 29 marca kosztował około 0,006 dolara, według danych z CoinGecko. Przy tej cenie token miał kapitalizację rynkową około 858 000 dolarów, co stanowiło około jednej trzeciej całkowitych strat z exploita.
Funkcjonalność mostkowania na czterech dotkniętych blockchainach pozostaje wstrzymana i zostanie wznowiona dopiero po wdrożeniu i audycie poprawki.
„To nie zmienia naszego przekonania, że interoperacyjność międzyłańcuchowa jest bezpieczna tylko dzięki dowodom kryptograficznym” – napisał zespół protokołu.
„To, co ten exploit jasno i kosztownie pokazał, to że logika weryfikacji wymaga częstszych audytów i testów wrogich na każdej warstwie stosu” – dodano. „Taki będzie standard działania Token Gateway w przyszłości”.
