Найжахливіша крадіжка? Хакери створили 1 мільярд доларів $DOT через «цю причину», але вкрали лише 230 тисяч доларів

Зломи криптовалютних платформ не припиняються, але випадки, коли «ризикуєш великим, заробляючи мале», дійсно рідкісні. Сьогодні (13 числа) раніше хакер використав уразливість міжланцюгового мосту Hyperbridge, щоб у Ethereum безпосередньо створити 1 мільярд Polkadot (DOT) токенів, номінальною вартістю до 11,9 мільярдів доларів США. Однак, коли він намагався продати ці токени, через серйозний дефіцит ліквідності він отримав лише близько 237 тисяч доларів США в ETH.
Потрібно уточнити, що цілью хакерської атаки був «розумний контракт міжланцюгового мосту», тому первинні DOT на основній мережі Polkadot не постраждали. Основною причиною цієї уразливості стала неправильна перевірка достовірності повідомлення у контракті EthereumHost Hyperbridge перед передачею міжланцюгового повідомлення TokenGateway.

Bridged $DOT (@Polkadot) щойно був зламаний у @ethereum.

Контроль був переданий контракту зловмисника, потім було створено 1 мільярд $DOT і миттєво продано. Ціна впала з $1.22 до мізерних часток цента.https://t.co/ECDT0RaHE9 pic.twitter.com/WUwxjtsNwr

— Onchain Lens (@OnchainLens) 13 квітня 2026

Міжланцюгові мости завжди були найуразливішим елементом архітектури блокчейну, оскільки вони мають управління контрактами токенів. Як тільки зламана механізм перевірки, хакери легко отримують необмежене право на створення токенів.
Методи атаки: підробка повідомлень, захоплення управління, необмежене створення токенів
На блокчейні видно, що зловмисник через dispatchIncoming подав підроблене повідомлення і успішно направив його до TokenGateway.onAccept. Спочатку система повинна була перевірити достовірність повідомлення на основі стану у мережі Polkadot, але механізм перевірки записав обіцянку як «повністю нульову», що означає, що процес перевірки був або повністю обійдений, або його взагалі не існувало, тому система сприйняла цю фальшиву команду як легітимну.
Прийняте повідомлення одразу запустило функцію changeAdmin контракту мосту Polkadot, передавши права адміністратора зловмиснику. Отримавши управління, зловмисник у одній транзакції створив 1 мільярд DOT і через Odos Router V3 помістив ці токени у торговий пул DOT-ETH на Uniswap V4. Після кількох обмінів за різними цінами він вивів близько 108.2 ETH.
«Недостатня ліквідність» стала захисним щитом
У фінансових ринках «недостатня ліквідність» зазвичай є головною проблемою для великих гравців, але іронія в тому, що цього разу саме її дефіцит став невидимим захистом, значно обмеживши прибутки хакера.
Через дуже обмежену глибину ліквідності DOT у мережі Ethereum, ці 10 мільярдів створених токенів не могли бути поглинуті, і коли зловмисник почав швидко продавати їх, різке падіння цін призвело до того, що реальна ціна кожного токена склала менше одного цента.
Якщо б використовувався більш глибокий або цінніший міжланцюговий актив, такий же уразливий механізм міг би спричинити збитки у десятки разів більші. На момент написання статті ціна DOT становила приблизно 1.17 долара, за останні 24 години вона знизилася на 5%.
Цей інцидент ще раз підтверджує: навіть якщо зломщик має «необмежене право на створення токенів», успіх у арбітражі залежить від ринкової ліквідності та глибини торгів. Відомий інститут безпеки блокчейну CertiK підтвердив цей випадок атаки і повідомив, що зловмисник отримав прибуток близько 237 тисяч доларів США шляхом створення та продажу мостових токенів.
На даний момент офіційні представники Hyperbridge не зробили публічних коментарів щодо інциденту.

#CertiKInsight 🚨

Ми зафіксували злом контракту шлюзу @hyperbridge. https://t.co/h27iDm1JGd

Зловмисник проник через підроблене повідомлення, щоб змінити адміністратора контракту токену Polkadot у Ethereum і отримав прибуток близько $237K від створення та продажу 1 мільярда токенів.

Залишайтеся з нами… pic.twitter.com/3t2n4uq5hy

— CertiK Alert (@CertiKAlert) 13 квітня 2026