Найжахливіша крадіжка? Хакери створили 1 мільярд доларів $DOT через «цю причину» і вкрали лише 230 тисяч доларів

Зломи криптовалютних платформ не припиняються, але випадки «ризикувати великим, заробляти мале» дійсно рідкість. Сьогодні (13 числа) раніше хакер використав уразливість міжланцюгового мосту Hyperbridge, щоб у Ethereum безпосередньо створити 1 мільярд Polkadot (DOT) токенів із номінальною вартістю до 11.9 мільярдів доларів США. Однак, коли він намагався продати ці токени, через серйозний дефіцит ліквідності він отримав лише близько 237 тисяч доларів у ETH. Потрібно уточнити, що цільовою атакою були «розумні контракти міжланцюгового мосту», тому нативні DOT на мережі Polkadot не постраждали. Основна причина уразливості цього разу — у тому, що контракт EthereumHost Hyperbridge передав повідомлення TokenGateway без належної перевірки його достовірності.

Bridged $DOT (@Polkadot) щойно був зламаний у @ethereum.

Контроль був переданий контракту зловмисника, потім було створено 1 мільярд $DOT і миттєво продано. Ціна впала з $1.22 до дрібних часток цента.https://t.co/ECDT0RaHE9 pic.twitter.com/WUwxjtsNwr

— Onchain Lens (@OnchainLens) 13 квітня 2026

Міжланцюгові мости завжди були найуразливішим елементом архітектури блокчейну, оскільки вони мають управління контрактами токенів. Якщо механізм перевірки буде зламаний, хакери легко отримають необмежене право на створення токенів. Методи атаки: підробка повідомлень, захоплення управління, необмежене створення токенів На блокчейні видно, що зловмисник через dispatchIncoming подав підроблене повідомлення і успішно направив його до TokenGateway.onAccept. Спочатку система мала б перевірити достовірність цього повідомлення за станом у мережі Polkadot, але механізм перевірки записав обіцянку як «повністю нульову», що означає, що процес перевірки був або повністю обійдений, або його взагалі не існувало, тому система сприйняла цю фальшиву команду як легітимну. Прийняте повідомлення одразу запустило функцію changeAdmin контракту мосту Polkadot, передавши права адміністратора зловмиснику. Отримавши контроль, зловмисник у одній транзакції створив 1 мільярд DOT і через Odos Router V3 помістив ці токени у торговий пул DOT-ETH на Uniswap V4. Після кількох обмінів за різними цінами він отримав близько 108.2 ETH. «Недостатня ліквідність» стала захисним щитом У фінансових ринках «недостатня ліквідність» зазвичай є головною проблемою для великих гігантів, але іронія в тому, що цього разу саме її недостача стала невидимим захистом, значно обмеживши прибутки хакера. Через дуже обмежену глибину ліквідності DOT у мережі Ethereum, ці 1 мільярд створених токенів не могли бути швидко поглинуті. Коли зловмисник почав швидко продавати їх, різке падіння цін призвело до того, що реальна ціна кожного токена склала менше одного цента. Якщо б цей же злом стався на мосту з більш глибокою ліквідністю або з більш високою вартістю активу, збитки могли б сягнути десятків разів більшими. На момент написання статті ціна DOT становила приблизно $1.17, за останні 24 години вона знизилася на 5%. Цей інцидент ще раз підтверджує: навіть якщо хакер має «необмежене право на створення токенів», успіх у арбітражі залежить від ринкової ліквідності та глибини торгів. Відомий інституційний орган з безпеки блокчейнів CertiK підтвердив цей випадок атаки і повідомив, що зловмисник отримав прибуток близько $237,000 шляхом створення та продажу мостових токенів. На даний момент офіційні представники Hyperbridge не зробили публічних коментарів щодо інциденту.

#CertiKInsight 🚨

Ми зафіксували злом контракту шлюзу @hyperbridge. https://t.co/h27iDm1JGd

Зловмисник проник через підроблене повідомлення, щоб змінити адміністратора контракту токену Polkadot у Ethereum і отримав прибуток близько $237K від створення та продажу 1 мільярда токенів.

Залишайтеся з нами… pic.twitter.com/3t2n4uq5hy

— CertiK Alert (@CertiKAlert) 13 квітня 2026