Hyperbridge桥漏洞致10亿枚跨链DOT被伪造，攻击者仅获利23.7万美元

据CoinDesk报道，2026年4月，一个针对Hyperbridge以太坊网关的漏洞被利用，攻击者通过伪造跨链消息，成功在以太坊上铸造了10亿枚跨链Polkadot（DOT）代币，总价值约为11.9亿美元。该攻击未影响Polkadot主网或原生DOT代币，而是聚焦于其跨链桥接合约中的验证缺陷。

攻击者利用Hyperbridge EthereumHost合约在处理跨链消息时的漏洞，绕过了本应验证的“状态承诺”检查，导致系统接受了一个全零的无效证明。这一缺陷使攻击者得以将自身地址设为桥接代币合约的管理员，从而获得无限铸币权限。

图片来源：CoinDesk

在获得控制权后，攻击者通过Odos Router V3将10亿枚伪造的DOT代币分批转入Uniswap V4的DOT-ETH交易池，最终提取约108.2枚ETH，折合金额约为23.7万美元。由于该池流动性极低，大量抛售导致价格严重稀释，每枚代币仅换得不足一美分。

安全机构CertiK确认此次攻击路径与Hyperbridge网关合约相关，且目前尚未有官方回应是否其他桥接合约也存在类似风险。专家指出，若此类漏洞出现在流动性更深的资产或更高价值的跨链桥中，潜在损失将远超本次规模。

本文译自CoinDesk，查看原文