Самое безумное ограбление? Хакеры создали 1 миллиард долларов $DOT, потому что «по этой причине» украли всего 230 тысяч долларов

Количество атак на криптовалюты не прекращается, но такие случаи, как «рисковать ради небольших заработков», действительно редки. Сегодня (13-го числа) рано утром хакер использовал уязвимость межцепочечного моста Hyperbridge, чтобы на Ethereum без оснований создать 1 миллиард Polkadot (DOT) токенов, номинальная стоимость которых достигла 11,9 миллиарда долларов. Однако при попытке продать эти токены, из-за острой нехватки ликвидности, он получил всего около 237 тысяч долларов в эфире. Следует прояснить, что целью атаки был «умный контракт межцепочечного моста», поэтому нативные DOT на основной сети Polkadot не пострадали. Основная причина уязвимости — в том, что контракт Hyperbridge EthereumHost перед передачей межцепочечного сообщения TokenGateway не смог правильно проверить подлинность сообщения.

Bridged $DOT (@Polkadot) только что был взломан на @ethereum.

Контроль был передан контракту злоумышленника, затем было создано 1 миллиард $DOT и мгновенно продано. Цена упала с $1.22 до долей цента.https://t.co/ECDT0RaHE9 pic.twitter.com/WUwxjtsNwr

— Onchain Lens (@OnchainLens) 13 апреля 2026

Межцепочечные мосты всегда считаются наиболее уязвимым звеном в архитектуре блокчейна, поскольку они обладают правами управления токенами. Если механизм проверки безопасности даст сбой, хакеры легко смогут получить неограниченные права на создание токенов. Методы атаки: подделка сообщений, захват управления, неограниченное создание токенов На блокчейне видно, что хакер отправил поддельное сообщение через dispatchIncoming и успешно направил его в TokenGateway.onAccept. Изначально система должна была проверить подлинность этого сообщения, сверив его с состоянием на цепочке Polkadot, но механизм проверки записал значение обещания как «ноль», что означает, что проверка была полностью обойдена или вообще отсутствовала, и система ошибочно приняла ложное сообщение за легитимную команду. Принятое сообщение сразу же активировало функцию changeAdmin в мостовом контракте Polkadot, передав права администратора на адрес злоумышленника. Получив контроль, злоумышленник в одной транзакции создал 1 миллиард DOT и через Odos Router V3 перевел эти токены в пул DOT-ETH на Uniswap V4. После нескольких обменов по немного разным ценам он в итоге вывел около 108.2 эфиров. «Недостаток ликвидности» стал защитным барьером В финансовых рынках «недостаток ликвидности» обычно является самой большой головной болью для крупных инвесторов, но иронично, что в этот раз нехватка ликвидности стала невидимым щитом, значительно ограничив прибыль злоумышленника. Поскольку ликвидность DOT на Ethereum очень ограничена, она не могла поглотить эти 1 миллиард созданных токенов. Когда хакер начал срочно их продавать, сильное падение цены привело к тому, что реальная цена каждого токена стала менее одного цента. На более глубокой или более ценной межцепочечной платформе такой уязвимость могла бы привести к ущербу в десятки раз больше. На момент написания статьи цена DOT составляет около 1.17 доллара, за последние 24 часа снизилась на 5%. Это событие еще раз подтверждает: даже если хакер обладает «правом неограниченного создания токенов», успешность арбитража зависит от рыночной ликвидности и глубины торгов. Известная компания по кибербезопасности блокчейнов CertiK подтвердила факт атаки и заявила, что злоумышленник за счет создания и продажи межцепочечных токенов получил около 23,7 тысяч долларов. На данный момент официальные представители Hyperbridge не сделали публичных комментариев по поводу инцидента.

#CertiKInsight 🚨

Мы зафиксировали взлом контракта шлюза @hyperbridge. https://t.co/h27iDm1JGd

Злоумышленник прошел через поддельное сообщение, чтобы изменить администратора контракта токена Polkadot на Ethereum и получил прибыль примерно $237K от создания и продажи 1 миллиарда токенов.

Оставайтесь с нами… pic.twitter.com/3t2n4uq5hy

— CertiK Alert (@CertiKAlert) 13 апреля 2026