Eksploatacija Hyperbridge greške omogućila mintovanje 1 milijarde DOT, ali plitka likvidnost ograničila profit na 237.000 dolara
Polkadot most na Ethereum mreži doživeo je ozbiljnu bezbednosnu ranjivost tokom vikenda, kada je nepoznati napadač iskoristio propust u Hyperbridge gateway kontraktu za mintovanje čak 1 milijarde bridged Polkadot (DOT) tokena u vrednosti od oko 1,19 milijardi dolara (oko 130 milijardi dinara). Usled ograničene likvidnosti DOT-ETH pool-a na Ethereum mreži, napadač je uspeo da zameni novoispremljene tokene za svega 237.000 dolara (oko 26 miliona dinara) u etheru.
Prema tržišnim podacima, Polkadotova cena na Ethereum mreži trgovala se neposredno uz nivo od 1,20 dolara po tokenu tokom azijskih jutarnjih sati u ponedeljak. Eksploatacija nije uticala na Polkadotovu osnovnu mrežu niti na nativni DOT, već isključivo na bridged DOT smart kontrakt na Ethereum lancu.
Ranjivost je nastala zbog pogrešne validacije cross-chain poruka u Hyperbridge EthereumHost kontraktu, koji nije adekvatno proveravao dokaze stanja pre nego što bi prosledio poziv TokenGateway-u. Napadač je poslao lažnu poruku putem funkcije dispatchIncoming, koja je omogućila promenu administratorskih prava na bridged DOT kontraktu u njegovu korist. Nakon toga, u jednoj transakciji mintovao je milijardu DOT tokena i putem Odos Router V3 i Uniswap V4 pool-a prodao ih za ukupno 108,2 ETH kroz više zamena.
Ograničena dubina DOT pool-a na Ethereum mreži bila je presudna u tome što napadač nije ostvario značajniji profit – količina od milijardu tokena daleko je premašila likvidnost i cena po tokenu praktično je pala na deliće centa. Stručnjaci upozoravaju da bi sličan napad na most koji povezuje assete sa većom likvidnošću ili vrednošću mogao izazvati mnogo veće gubitke.
Eksploit je potvrdila i blockchain bezbednosna firma CertiK, napominjući da je ranjivi vektor bio Hyperbridge gateway kontrakt. Hyperbridge tim se do objave ovog teksta još nije javno oglasio niti otkrio da li su i drugi bridged tokeni putem istog gateway-a podložni ovom tipu napada.
Ovaj incident dolazi nakon niza mostovskih ranjivosti tokom godine – prošlog meseca Drift Protocol na Solani pretrpeo je gubitak od 270 miliona dolara, dok su i drugi napadi uključivali kompromitaciju infrastrukture. Mostovi ostaju najslabija tačka cross-chain ekosistema, jer jedan propust u validaciji često omogućava napadačima potpunu kontrolu nad bridged tokenom na destinacijskom lancu.
Za poređenje, Belex15 je tokom dana ostao stabilan uz rast od 0,2% na 3.462 poena. Kripto tržište u Srbiji i dalje nije regulisano, a potencijalna dobit od sličnih napada bi podležala porezu od 15%.
