Как создали 1 млрд токенов DOT из воздуха: разбор взлома Hyperbridge

Главное:

• Polkadot подтвердил, что проблема с мостом Hyperbridge (система для перевода токенов между блокчейнами) затронула только «перенесенные» DOT-токены, а не основные активы внутри сети или связанные с ней проекты.
• В результате атаки было потеряно около $237,000: злоумышленник создал (фактически «напечатал») 1 млрд таких токенов. Это более чем в 2800 раз превышает реальное количество этих токенов в обращении.
• Команда Hyperbridge остановила работу моста, чтобы разобраться с уязвимостью в коде, связанной с проверкой данных (так называемая ошибка в логике проверки Merkle Mountain Range).

13 апреля 2026 года Polkadot опубликовал заявление после обнаружения проблемы безопасности в контракте, который соединяет сеть Ethereum с Hyperbridge. Компания подтвердила, что атака затронула именно перенесенные DOT-токены в сети Ethereum. GetBlock AML Research разобрался в ситуации со взломом Hyperbridge.

Взлом Rhea Finance: потери DeFi-платформы превысили $7,6 млн

Часть украденных средств в USDT уже заморожена Tether.

Читать дальше

Причина взлома Hyperbridge: ошибка в коде

Hyperbridge объяснила, что ее система специально создавалась для снижения рисков — она использует математические доказательства из блокчейна вместо доверия к отдельным людям или группам. Это означает, что сама концепция безопасности не была сломана.

Согласно расследованию, причиной стала ошибка в программном коде (на языке Solidity), отвечающем за проверку данных. Эта ошибка позволяла системе принимать поддельные подтверждения как настоящие.

Из-за этой уязвимости злоумышленник смог обойти проверки безопасности. В результате он получил контроль над контрактом токенов и смог создать огромное количество новых токенов. Хакер выпустил 1 миллиард токенов, что более чем в 2800 раз превышает реальное количество (около 356,000).

Уязвимости в коде, которые стали причиной взлома

После этого новые токены быстро были отправлены на децентрализованные торговые площадки и проданы. Hyperbridge заявила, что продолжает работать с партнерами по безопасности, чтобы отследить движение средств и попытаться вернуть их. Также команда пообещала делиться новыми подробностями по мере расследования.

Операция Atlantic: 20 000 жертв и $12 млн заморожено в борьбе с криптомошенничеством

Мошенники научились получать доступ к криптокошелькам без кражи паролей. Разбираем новую схему под названием approval phishing и реальные масштабы угрозы

Читать дальше

Что произошло с токенами DOT и какие риски остались

В заявлении говорится: «Мы знаем о проблеме, затрагивающей контракт Hyperbridge в сети Ethereum». При этом подчеркивается, что проблема ограничена конкретной частью системы и не затронула всю сеть Polkadot.

Команда также уточнила: «Атака касается только DOT-токенов в Ethereum, которые были перенесены через Hyperbridge. Она не влияет на токены внутри самой экосистемы Polkadot или на токены, переведенные через другие мосты».

Таким образом, основные токены DOT внутри сети (включая ее главную цепочку и связанные проекты) не пострадали. В качестве меры предосторожности все операции через затронутый мост были временно остановлены.

Polkadot сообщил: «Работа Hyperbridge приостановлена до выяснения причин». Это решение было принято сразу после обнаружения подозрительной активности.

Позже команда Hyperbridge опубликовала подробный разбор инцидента.

В нем говорится: «13 апреля 2026 года уязвимость в системе перевода токенов Hyperbridge была использована злоумышленником, что привело к потерям около $237,000 в сети Ethereum».

Платформа также отметила, что многие подобные системы перевода средств между блокчейнами зависят от группы проверяющих или специальных разрешений. Это создает дополнительные риски. В целом, такие уязвимости уже привели к потерям более $2 млрд в индустрии.