Самое безумное ограбление? Хакеры создали 1 миллиард долларов $DOT, потому что «по этой причине» украли всего 230 тысяч долларов

Злом криптовалютных платформ не утихает, но случаи, когда «рискуешь ради небольшой прибыли», действительно редки. Сегодня (13-го числа) ранее злоумышленник использовал уязвимость межцепочечного моста Hyperbridge, чтобы на Ethereum без оснований создать 1 миллиард Polkadot (DOT), номинальная стоимость которых достигла 11,9 миллиарда долларов. Однако при попытке продать эти токены, из-за острой нехватки ликвидности, он смог обменять их лишь на примерно 237 тысяч долларов в эфире. Следует прояснить, что целью атаки был «умный контракт межцепочечного моста», поэтому нативные DOT на основной сети Polkadot не пострадали. Основная причина уязвимости — в том, что контракт EthereumHost Hyperbridge при передаче межцепочечных сообщений в TokenGateway не смог правильно проверить подлинность сообщений.

Мост $DOT (@Polkadot) только что был взломан на @ethereum.

Контроль был передан контракту злоумышленника, затем было создано 1 миллиард $DOT и мгновенно продано. Цена упала с $1.22 до долей цента.https://t.co/ECDT0RaHE9 фото.twitter.com/WUwxjtsNwr

— Onchain Lens (@OnchainLens) 13 апреля 2026

Межцепочечные мосты всегда считаются наиболее уязвимым звеном в архитектуре блокчейна, поскольку они обладают правами управления токенами. Если механизм проверки нарушается, злоумышленники могут легко получить неограниченные права на создание токенов. Методы атаки: подделка сообщений, захват управления, неограниченное создание токенов На блокчейн-следах видно, что злоумышленник через dispatchIncoming отправил поддельное сообщение, успешно направив его в TokenGateway.onAccept. Изначально система должна была проверить подлинность этого сообщения, основываясь на состоянии в сети Polkadot, но механизм проверки записал значение обещания как «ноль», что означает, что проверка была полностью обойдена или вообще отсутствовала, и система приняла ложное сообщение за легитимную команду. Принятое сообщение сразу же активировало функцию changeAdmin в мостовом контракте Polkadot, передав права администратора на адрес злоумышленника. Получив контроль, злоумышленник за одну транзакцию создал 10 миллиардов DOT и через Odos Router V3 перевел эти токены в пул DOT-ETH на Uniswap V4. После нескольких обменов по немного разным ценам он в итоге вывел около 108.2 эфиров. «Недостаток ликвидности» стал защитным барьером В финансовых рынках «недостаток ликвидности» — одна из самых головных болей крупных инвесторов, но ирония в том, что в этот раз нехватка ликвидности стала невидимым щитом, значительно ограничив прибыль злоумышленника. Из-за очень ограниченной глубины ликвидности DOT на Ethereum, она не могла поглотить 1 миллиард созданных токенов. Когда злоумышленник поспешил их продать, сильное падение цены привело к тому, что реальная цена каждого токена оказалась менее одного цента. На более глубоком или более ценном мосте такой уязвимость могла бы привести к десяткам раз больших потерь. На момент написания статьи цена DOT составляет около 1.17 доллара, за последние 24 часа снизившись на 5%. Это событие еще раз подтверждает: даже если злоумышленник обладает «правом неограниченного создания токенов», успешность арбитража зависит от рыночной ликвидности и глубины торгов. Известная компания по кибербезопасности CertiK подтвердила факт атаки и заявила, что злоумышленник, создав и продав мостовые токены, заработал около 23.7 тысяч долларов. На данный момент официальные представители Hyperbridge не сделали публичных комментариев по поводу инцидента.

#CertiKInsight 🚨

Мы зафиксировали уязвимость в контракте шлюза @hyperbridge. https://t.co/h27iDm1JGd

Злоумышленник прошел через поддельное сообщение, чтобы изменить администратора контракта токена Polkadot на Ethereum и получил прибыль примерно $237K от создания и продажи 1 миллиарда токенов.

Оставайтесь с нами… фото.twitter.com/3t2n4uq5hy

— CertiK Alert (@CertiKAlert) 13 апреля 2026