Polkadot è stato oggetto di un attacco, in quanto i token DOT sono stati coniati tramite una transazione bridge non autorizzata. La vulnerabilità si verifica in un momento di maggiore attenzione agli attacchi informatici contro i protocolli decentralizzati.
Polkadot, un protocollo decentralizzato di lunga data, ha subito un attacco di conio non autorizzato di token DOT. Un'analisi on-chain ha dimostrato che l'exploit si basa su uno smart contract Hyperbridge difettoso, che ha permesso il conio non autorizzato di token DOT sulla rete Ethereum.
Il contratto HandlerV1 è stato sfruttato per un valore di 242.000 dollari, influenzando il prezzo di mercato del token DOT. Hyperbridge è l'hub multi-chain ufficialmente accettato per Polkadot, quindi, sebbene il protocollo principale rimanga sicuro, il bridge stesso potrebbe presentare maggiori rischi. La DAO di Polkadot ha approvato Hyperbridge come hub principale per gli scambi DOT/vDOT tra diverse blockchain.
Poco prima dell'attacco, Hyperbridge era quasi inattivo, con praticamente nessuna transazione di scambio di DOT in corso. L'attaccante ha coniato 1 miliardo di nuovi DOT su Ethereum e li ha venduti in un'unica transazione . Il bridge stesso non deteneva una liquidità significativa, ma era in grado di coniare DOT senza limiti, stando ai dati di deposito forniti.
Hyperbridge di Polkadot colpito da un attacco di replay.
La falla nel contratto ha permesso a un malintenzionato di eseguire un attacco di replay della prova. Il bridge ha consentito all'attaccante di riutilizzare una prova precedentemente accettata e di associarla a una nuova richiesta, consentendo così diverse azioni privilegiate, come la modifica dei permessi di amministratore. L'intero attacco è stato eseguito sulla rete Ethereum, senza interagire con altre blockchain di Polkadot.
Secondo i ricercatori, l'attaccante ha ottenuto i diritti di amministratore sul contratto bridge, consentendo l'autorizzazione alla creazione di DOT. Certik ha inoltre confermato che il messaggio falsificato dell'attaccante è stato utilizzato per ottenere i diritti di amministratore.
Le indagini sulla sicurezza on-chain hanno scoperto diverse transazioni originate da Hyperbridge. Si tratta del terzo attacco al bridge di Polkadot, dopo l'exploit del bridge XCM del 2025 per 35 milioni di dollari e l'attacco al bridge Nomad del 2022 per 200 milioni di dollari.
Sebbene l'ultimo attacco sia stato il più piccolo in termini di portata, ha comunque rivelato potenziali falle nel protocollo, aumentando il rischio generale dei bridge. L'attacco segue quello del 1° aprile contro Drift Protocol, a dimostrazione di un crescente impegno nel tentativo di impossessarsi di token crittografici o di sfruttare vulnerabilità di conio non autorizzate.
Il prezzo delle azioni del DOT è crollato sotto quota 1,20 dollari.
In seguito all'attacco, il prezzo di DOT è crollato a 1,19 dollari. La vendita lampo di 1 miliardo di DOT ha comportato una perdita di solo il 2,9%, poiché la vendita rapida è avvenuta in concomitanza con uno slittamento di prezzo. Chi ha sfruttato l'attacco è riuscito a vendere i DOT per soli 237 milioni di dollari.
Come riportato da Cryptopolitan , Polkadot aveva deciso di limitare l'offerta di DOT a 2,1 miliardi di token, ma l'attacco hacker non ha causato un crollo del token come previsto, nonostante abbia coniato più della metà dei token in circolazione. Tutti i DOT ottenuti tramite l'exploit sono stati venduti in un'unica transazione e scambiati con ETH.
Per vendere i token, l'attaccante ha utilizzato un wallet Railgun , spostando gli ETH in una serie di transazioni. Railgun è stato raramente utilizzato per exploit. Nelle prime ore successive all'attacco, il mixer non è riuscito a inserire gli indirizzi nella blacklist con sufficiente rapidità, consentendo all'attaccante di continuare a utilizzare il servizio e di mascherare la provenienza degli ETH.
I contratti di Hyperbridge sono stati sospesi e non sono stati segnalati ulteriori asset compromessi. La recente serie di attacchi hacker si verifica nonostante il mercato ribassista in corso, nel tentativo di estrarre ancora liquidità dai token crittografici.
Esiste una via di mezzo tra lasciare i soldi in banca e tentare la fortuna con le criptovalute. Inizia con questo video gratuito sulla finanza decentralizzata .