Um exploit que levou à cunhagem de 1 bilhão de tokens wrapped Polkadot (DOT) no início desta semana é ainda pior do que o inicialmente relatado, de acordo com a equipe por trás da Hyperbridge.
O que se pensava inicialmente ser cerca de US$ 237.000 em perdas de tokens ligadas à bridge Polkadot-Ethereum está, na verdade, mais próximo de US$ 2,5 milhões—um aumento de mais de 10 vezes em relação ao relatório inicial.
“Um atacante explorou uma vulnerabilidade na lógica de verificação de prova Merkle Mountain Range (MMR), permitindo que o culpado cunhasse ativos e drenasse ativos em custódia no Token Gateway”, a equipe postou em um post-mortem na quinta-feira.
O atacante extraiu aproximadamente 245 ETH de um contrato TokenGateway relacionado.
Cerca de uma hora depois, uma mensagem cross-chain forjada contornou a verificação de prova MMR, permitindo que o atacante cunhasse 1 bilhão de DOTs em bridge e os despejasse em liquidez limitada.
— Hyperbridge (@hyperbridge) 16 de abril de 2026
“Nossa estimativa pública inicial da perda realizada foi de aproximadamente US$ 237.000, com base na venda imediatamente observável de DOT em bridge na Ethereum”, acrescentaram. “Esse valor não capturou a imagem completa, como soubemos mais tarde.”
Além dos US$ 237.000 em perdas observáveis, um contrato inteligente foi explorado por 245 ETH, ou cerca de US$ 561.000, horas antes da cunhagem maliciosa de tokens DOT. Além disso, três blockchains conectadas—Base, Arbitrum e BNB Chain—também foram impactadas, contradizendo o relatório original da equipe de que apenas o DOT wrapped na Ethereum foi afetado.
“Após a reconciliação da atividade do atacante em cada uma das quatro cadeias, a natureza de duas fases do ataque e as perdas dos pools de incentivo associados, a perda total realizada revisada é de aproximadamente US$ 2,5 milhões, denominada em ETH e DOT no momento do exploit”, escreveu.
Os fundos roubados foram rastreados para um endereço de depósito na Binance, e a empresa envolveu a equipe de compliance da exchange centralizada e as autoridades policiais relevantes na tentativa de congelar e recuperar os ativos roubados—mas não espera uma resolução em breve.
“Estamos buscando todos os canais disponíveis, mas o prazo realista para uma recuperação significativa em um caso deste tipo é medido em meses, podendo se estender até um ano”, acrescentou.
Embora seu objetivo seja compensar todos os usuários afetados, reembolsando os fundos comprometidos, o protocolo indicou que está “comprometido com uma alocação estruturada de tokens BRIDGE para cobrir a perda residual”, caso não consiga fazê-lo.
Mas o BRIDGE, seu token nativo de protocolo, mantém volumes extremamente baixos, negociando pela última vez US$ 1.800 em 24 horas, quando trocou de mãos por cerca de US$ 0,006 em 29 de março, de acordo com dados da CoinGecko. Nesse preço, o token tinha um valor de mercado de cerca de US$ 858.000, cerca de um terço das perdas totais de seu exploit.
A funcionalidade de bridge nas quatro blockchains afetadas permanece pausada e só será retomada após a implantação e auditoria de um patch.
“Isso não muda nossa convicção de que a interoperabilidade cross-chain é segura apenas por meio de provas criptográficas”, escreveu a equipe do protocolo.
“O que este exploit deixou claro, de forma cara, é que a lógica de verificação precisa de auditorias mais frequentes e testes adversariais em todas as camadas da pilha”, acrescentou. “Esse é o padrão sob o qual o Token Gateway operará daqui para frente.”
