Ein Angreifer hat heute eine Schwachstelle im Ethereum-Gateway-Contract von Hyperbridge ausgenutzt und dabei eine Milliarde gebridgte DOT-Token auf Ethereum emittiert. Trotz des gigantischen Minting-Volumens blieb der finanzielle Schaden aufgrund dünner Liquidität überschaubar.
Der Angreifer schleuste eine gefälschte Cross-Chain-Nachricht ein, um die Admin-Kontrolle über den DOT-Token-Contract auf Ethereum zu übernehmen. Nach bisherigen Erkenntnissen ermöglichte ein Validierungsfehler in der Zustandsprüfung der Bridge, die Admin- und Minting-Rechte zu übernehmen.
Mit den so erlangten Privilegien emittierte der Angreifer eine Milliarde bridged‑DOT‑Token auf Ethereum. Zum Einordnen der Größenordnung: Diese Milliarde überstieg die tatsächliche bridged‑DOT‑Supply von rund 356.000 Token um das etwa 2.800‑Fache.
Begrenzter Schaden durch fehlende Liquidität
Der On-Chain-Tracker Lookonchain stellte fest, dass der Angreifer den gesamten emittierten Bestand in einer einzigen Transaktion verkaufte und dabei 108,2 ETH einstrich, was umgerechnet rund 237.000 Dollar entspricht. Der Preis der bridged-DOT-Token auf Ethereum kollabierte dabei von 1,22 Dollar auf nahezu null, was die extrem dünne Markttiefe für diesen Asset deutlich offenbart.
Dass ein Angriff mit einem theoretischen Volumen von über einer Milliarde Dollar letztlich nur einen sechsstelligen Betrag abwirft, ist ein seltenes Phänomen – und unterstreicht zugleich, wie gefährlich dieselbe Lücke bei einem liquiden Pool geworden wäre.
Sicherheitsforscher identifizierten zudem einen zweiten, kleineren Exploit über dieselbe Hyperbridge-Pipeline. Dabei nutzte eine andere Adresse den TokenGateway.onAccept()-Pfad, um rund 12.000 Dollar in MANTA- und CERE-Token abzuziehen. Beide Vorfälle haben dieselbe Ursache: eine unzureichende State-Proof-Verifizierung im ISMP-Nachrichtenfluss.
Polkadot selbst ist nicht betroffen
Das offizielle Polkadot-Team betonte umgehend, dass weder das Polkadot-Netzwerk noch nativer DOT kompromittiert wurden. Der Exploit betrifft ausschließlich DOT, das über Hyperbridge auf Ethereum gebridgt wurde – nicht DOT, das über andere Bridges transferiert oder direkt im Polkadot-Ökosystem gehalten wird. Hyperbridge wurde derweil zur Untersuchung pausiert.
Dennoch reagierte der DOT-Kurs und fiel in Folge des Vorfalls um rund 4,8 Prozent auf 1,16 Dollar. Die südkoreanischen Börsen Upbit und Bithumb setzten DOT-Transaktionen als Vorsichtsmaßnahme aus. Dabei spiegelt der Kursrückgang weniger die fundamentale Sicherheit von Polkadot wider, sondern vielmehr Panikverkäufe durch Anleger, die den Unterschied zwischen nativem DOT und gebridgtem DOT nicht sofort einordnen konnten.
