Хакер скористався протоколом взаємодії крос-ланцюгів Hyperbridge на основі Polkadot, заробивши близько 237 000 доларів США та знову викликавши занепокоєння щодо безпеки щодо інфраструктури мосту блокчейну.
Відповідно до даних блокчейну, опублікованих платформою кібербезпеки CertiK, зловмисник викарбував 1 мільярд токенів Polkadot (DOT) за одну транзакцію на Hyperbridge.
У CertiK заявили, що хакеру вдалося викарбувати токени після того, як він «пропустив підроблене повідомлення про зміну адміністратора контракту токенів Polkadot на Ethereum». Однак слабка ліквідність у суміжному DOT-пулі Ethereum була переповнена 1 мільярдом суміжних DOT-токенів, скоротивши прибуток зловмисника лише до 108,2 Ether (ETH) на суму близько 237 000 доларів після обміну.
Дослідницька компанія з кібербезпеки Blocksec Falcon заявила, що ймовірною основною причиною експлойту є вразливість відтворення доказу гірського хребта Меркле (MMR), спричинена відсутністю прив’язки доказу до запиту, хоча остаточна основна причина ще не підтверджена протоколом.
Hyperbridge призупинив роботу після атаки, поки команда працювала над оновленням, а співавтор Web3 Philosopher сказав, що початковий діагноз вказав на зловмисне підтвердження, яке ввело в оману верифікатор дерева Merkle протоколу. Мости Blockchain дозволяють користувачам переміщувати токени та дані між різними мережами.
Експлойт примітний тим, що Hyperbridge рекламує себе як рівень сумісності на основі доказів, створений для забезпечення «повної безпеки вузлів» для перехресних мостів. Цей інцидент також стався після того, як Aethir минулого тижня оприлюднив інформацію про те, що він містив окремий експлойт мосту, і втрати користувачів перевищували 90 000 доларів США.
Cointelegraph зв’язався з Hyperbridge, щоб прокоментувати першопричину експлойту.
Експлойт вплинув лише на DOT на Ethereum, який був з’єднаний через Hyperbridge, тоді як рідні токени DOT і ширша екосистема Polkadot залишаються незмінними, зазначив Polkadot у публікації X у понеділок.
За даними CoinGecko, рідний токен DOT ненадовго впав до денного мінімуму в 1,16 долара в понеділок, а потім відновився до рівня вище 1,19 долара на момент написання статті.
Хакери використовують мережу SubQuery за $130 тис
Інциденти з безпекою продовжують вражати протоколи криптовалюти, незважаючи на різке падіння втрат від використання DeFi порівняно з минулим роком.
У неділю протокол індексування даних SubQuery Network також був використаний на суму близько 130 000 доларів США через відсутність даних контролю доступу, які розкрили код, написаний більше двох років тому.
Уразливість дозволила зловмиснику встановити свій власний контракт як ціль виведення для отримання винагороди за ставку, сказав Пашов, аудитор безпеки блокчейну, у недільній публікації X.
У першому кварталі 2026 року хакери викрали понад 168 мільйонів доларів США з 34 протоколів децентралізованого фінансування (DeFi), що значно менше, ніж у першому кварталі 2025 року, коли було вкрадено 1,58 мільярда доларів США, коли стався рекордний злом Bybit на суму 1,4 мільярда доларів.
