loading...
据CoinDesk报道,2026年4月,一个针对Hyperbridge以太坊网关的漏洞被利用,攻击者通过伪造跨链消息,成功在以太坊上铸造了10亿枚跨链Polkadot(DOT)代币,总价值约为11.9亿美元。该攻击未影响Polkadot主网或原生DOT代币,而是聚焦于其跨链桥接合约中的验证缺陷。
攻击者利用Hyperbridge EthereumHost合约在处理跨链消息时的漏洞,绕过了本应验证的“状态承诺”检查,导致系统接受了一个全零的无效证明。这一缺陷使攻击者得以将自身地址设为桥接代币合约的管理员,从而获得无限铸币权限。
图片来源:CoinDesk
在获得控制权后,攻击者通过Odos Router V3将10亿枚伪造的DOT代币分批转入Uniswap V4的DOT-ETH交易池,最终提取约108.2枚ETH,折合金额约为23.7万美元。由于该池流动性极低,大量抛售导致价格严重稀释,每枚代币仅换得不足一美分。
安全机构CertiK确认此次攻击路径与Hyperbridge网关合约相关,且目前尚未有官方回应是否其他桥接合约也存在类似风险。专家指出,若此类漏洞出现在流动性更深的资产或更高价值的跨链桥中,潜在损失将远超本次规模。
本文译自CoinDesk,查看原文
391
1073
282
763
813
639
940
508
1064
223
