Самое безумное ограбление? Хакеры создали 1 миллиард долларов $DOT, потому что «по этой причине» украли всего 230 тысяч долларов

Количество атак на криптовалюты растет, но случаи, когда люди «рискуют ради небольшого заработка», действительно редки. Сегодня (13-го числа) рано утром хакер использовал уязвимость межцепочечного моста Hyperbridge, чтобы на Ethereum без оснований создать 1 миллиард Polkadot (DOT) токенов с номинальной стоимостью до 11,9 миллиарда долларов. Однако при попытке продать эти токены, из-за серьезного недостатка ликвидности, он получил всего около 237 тысяч долларов в эфире. Следует прояснить, что целью атаки был «умный контракт межцепочечного моста», поэтому нативные DOT на основной сети Polkadot не пострадали. Основная причина уязвимости — в том, что контракт EthereumHost Hyperbridge перед передачей межцепочечного сообщения TokenGateway не смог правильно проверить подлинность сообщения.

Bridged $DOT (@Polkadot) только что был взломан на @ethereum.

Контроль был передан контракту злоумышленника, затем было создано 1 миллиард $DOT и мгновенно продано. Цена упала с $1.22 до долей цента.https://t.co/ECDT0RaHE9 pic.twitter.com/WUwxjtsNwr

— Onchain Lens (@OnchainLens) 13 апреля 2026

Межцепочечные мосты всегда считаются наиболее уязвимым звеном в архитектуре блокчейна, поскольку они обладают правами управления токенами. Если механизм проверки будет скомпрометирован, хакеры легко смогут получить неограниченные права на создание токенов. Методы атаки: подделка сообщений, захват управления, неограниченное создание токенов На блокчейне видно, что хакер отправил поддельное сообщение через dispatchIncoming и успешно направил его в TokenGateway.onAccept. Изначально система должна была проверить подлинность этого сообщения, основываясь на состоянии сети Polkadot, но механизм проверки записал значение обещания как «ноль», что означает, что проверка была полностью обойдена или вообще отсутствовала, и система ошибочно приняла ложное сообщение за легитимную команду. Принятое сообщение сразу же активировало функцию changeAdmin в контракте межцепочечного мостового Polkadot, передав права администратора на адрес злоумышленника. Получив контроль, злоумышленник в одной транзакции создал 1 миллиард DOT и через Odos Router V3 внес эти токены в торговый пул DOT-ETH на Uniswap V4. После нескольких обменов по немного разным ценам он в итоге вывел около 108.2 ETH. «Недостаток ликвидности» стал защитным барьером В финансовых рынках «недостаток ликвидности» обычно является самой большой головной болью для крупных инвесторов, но иронично, что в этот раз именно его нехватка стала невидимым щитом, значительно ограничив прибыль злоумышленника. Поскольку ликвидность DOT на Ethereum очень ограничена, она не могла поглотить 1 миллиард созданных токенов. Когда хакер начал срочно продавать их, сильное падение цены привело к тому, что реальная цена каждого токена стала менее одного цента. На более глубоком или ценностно более значимом мосте подобная уязвимость могла бы привести к десяткам раз больших потерь. На момент написания статьи цена DOT составляет около 1.17 доллара, за последние 24 часа снизившись на 5%. Это событие еще раз подтверждает: даже если хакер обладает «правом неограниченного создания токенов», успешность арбитража зависит от ликвидности рынка и глубины торгов. Известная компания по кибербезопасности блокчейнов CertiK подтвердила факт атаки и заявила, что злоумышленник, создав и продав мостовые токены, получил прибыль примерно в 237 тысяч долларов. На данный момент официальные представители Hyperbridge не сделали публичных комментариев по поводу инцидента.

#CertiKInsight 🚨

Мы зафиксировали взлом контракта шлюза @hyperbridge. https://t.co/h27iDm1JGd

Злоумышленник прошел через поддельное сообщение, чтобы изменить администратора контракта токена Polkadot на Ethereum и получил около $237K , создав и продав 1 миллиард токенов.

Оставайтесь с нами… pic.twitter.com/3t2n4uq5hy

— CertiK Alert (@CertiKAlert) 13 апреля 2026