Наслідки хакерської атаки Polkadot: випуск Hyperbridge активує 1 мільярд мостових DOT на Ethereum

Питання безпеки знову постали на порядку денному у криптовалютних ринках після недавнього інциденту з хакерською атакою на Hyperbridge’s Ethereum gateway у мережі Polkadot, що викликало офіційну реакцію команди мережі.

Polkadot уточнює вплив експлойту Hyperbridge

13 квітня 2026 року Polkadot опублікував офіційну заяву щодо інциденту з безпекою, що торкнувся контракту Ethereum gateway, який використовується Hyperbridge. Проект підтвердив, що були зламані лише мостові DOT на Ethereum, тоді як основні активи мережі залишилися цілі.

Команда заявила: «Ми знаємо про проблему, що впливає на контракт Ethereum gateway Hyperbridge». Однак у повідомленні наголошувалося, що проблема була обмежена у масштабах і не поширювалася на всю мережу Polkadot або її релейний ланцюг.

Більше того, Polkadot підкреслив: «Експлойт впливає лише на DOT на Ethereum, який мостовий через Hyperbridge, і не впливає на DOT у екосистемі Polkadot або DOT, мостовий через інші мости». Це уточнення мало на меті чітко розмежувати уражені токени та нативні активи.

Отже, подія не вплинула на нативний DOT у релейному ланцюгу, парачейнах або інших екосистемах, підключених до Polkadot. Однак настрої на ринку все ж стали негативними. Ціна DOT знизилася на 4,77% до $1,16 на момент публікації, що підкреслює чітке падіння ціни, пов’язане з інцидентом безпеки.

Hyperbridge призупиняє операції та розкриває дані про збитки

Як запобіжний захід, служби мосту, пов’язані з ураженим контрактом, були негайно призупинені. Polkadot зазначив, що «Hyperbridge призупинено, поки триває розслідування», що свідчить про терміновий крок для обмеження потенційних подальших пошкоджень.

Крім того, Hyperbridge опублікував детальний звіт про інцидент, у якому пояснив експлойт та його наслідки. У ньому йдеться: «13 квітня 2026 року була використана уразливість у Token Gateway Hyperbridge, що призвело до збитків приблизно на $237 000 у мережі Ethereum». Ця сума відображає безпосередній фінансовий вплив, визначений на даний момент.

Платформа підкреслила, що багато систем міжланцюгових мостів сьогодні покладаються на набір валідаторів або мультипідписні схвалення. Однак такі конструкції вводять структурні припущення щодо довіри, які можна зловживати. Hyperbridge зазначив, що ці моделі у сумі сприяли втратам у мостах більш ніж $2 мільярдів доларів у цій галузі.

Водночас проект стверджує, що його архітектура була розроблена для зниження цих ризиків безпеки міжланцюгових мостів, віддаючи перевагу криптографічним доказам із базового блокчейну замість довіри до централізованих груп людських або інституційних схвалень.

Внутрішній баг verification у Merkle Mountain Range

Hyperbridge пояснив, що його система намагається зменшити загрозу підробки токенів мосту, закріплюючи безпеку у криптографічній перевірці. Однак у звіті чітко зазначається, що експлойт не виник через концептуальну неспроможність криптографічного підходу.

Замість цього дослідження виявило, що основною причиною стала шлях підробки доказів у реалізації Hyperbridge. Зокрема, було знайдено помилку у логіці перевірки доказів Merkle Mountain Range, що базується на Solidity, і яка використовується контрактом Ethereum gateway.

Згідно з повідомленням, ця помилка у Merkle Mountain Range виникла у реалізації перевірки дерева Merkle, яке намагалося імітувати логіку вищого рівня Polkadot. Однак ця вадна логіка дозволила системі вважати певні недійсні докази валідними, порушуючи заплановані гарантії безпеки.

Саме ця несправність у перевірці дозволила зловмиснику пропустити шкідливе повідомлення через системи безпеки. В результаті зловмисник фактично отримав адміністративний контроль над контрактом мостового DOT на Ethereum, що відкрив шлях до масштабного створення токенів.

Як було створено та продано підроблені 1 мільярд мостових DOT

Після отримання цього підвищеного доступу зловмисник почав, за словами слідчих, масштабне створення мостових DOT. Зловмисник згенерував 1 мільярд мостових DOT, використовуючи зламаний контракт для обходу нормальних обмежень емісії.

Ця новостворена пропозиція перевищила кількість легітимних циркулюючих мостових DOT на Ethereum, яка становила приблизно 356 000 токенів. У числовому вираженні фальшивий випуск перевищив реальний обіг більш ніж у 2800 разів, що підкреслює серйозність уразливості мосту Ethereum.

Однак зловмисник не тримав цю позицію довго. У звіті зазначається, що підроблені токени швидко були переміщені на децентралізовані біржі та подібні торгові майданчики. Там вони були продані на ринок, перетворюючи експлойт у ліквідні кошти.

У своїй комунікації Polkadot охарактеризував цей інцидент як серйозну помилку сторонньої інфраструктури, а не провал основної мережі. Тим не менше, хак Polkadot знову підняв питання щодо вразливості архітектури мостів і їх ролі у міжланцюговій взаємодії.

Поточне розслідування та подальші кроки

Крім того, Hyperbridge підтвердив, що тісно співпрацює зі своїми партнерами з безпеки для відстеження руху викрадених коштів у блокчейні. Команда також оцінює можливі шляхи відновлення та стратегії зменшення фінансових збитків.

Hyperbridge пообіцяв поділитися додатковими деталями експлойту Hyperbridge у міру продовження розслідування та виявлення нових доказів. Однак конкретних термінів повного відновлення мостових сервісів або процесу відшкодування наразі не оголошено.

Поки що, мостовий зв’язок через Hyperbridge залишається припиненим, поки технічні команди переглядають реалізацію доказів Merkle, логіку контрактів і системи моніторингу. Це призупинення має на меті запобігти повторенню подібних атак через той самий шлях підробки доказів.

Підсумовуючи, інцидент виявив критичну слабкість у одному з компонентів Ethereum, орієнтованому на екосистему Polkadot, що призвело до збитків у $237 000 і короткочасного зниження довіри до ринку. Однак нативний DOT, парачейни та інфраструктура релейного ланцюга залишилися цілі, що підтверджує цілісність основної моделі безпеки протоколу, незважаючи на злом Hyperbridge.