Image: Shutterstock/Decrypt Uma exploração que levou ao cunhagem de 1 bilhão de Polkadot embrulhados (DOT) no início desta semana é ainda pior do que o relatado originalmente, de acordo com a equipe por trás do Hyperbridge.
O que foi originalmente pensado em US$ 237.000 em perdas simbólicas vinculadas à ponte Polkadot-Ethereum está, na verdade, mais próximo de US$ 2,5 milhões – um aumento de mais de 10 vezes em relação ao relatório inicial.
“Um invasor explorou uma vulnerabilidade na lógica de verificação de provas da Merkle Mountain Range (MMR), permitindo ao culpado cunhar ativos e drenar ativos sob custódia no Token Gateway”, disse a equipe. postado em uma autópsia de quinta-feira.
O invasor extraiu cerca de 245 ETH de um contrato TokenGateway relacionado.
Cerca de uma hora depois, uma mensagem forjada de cadeia cruzada contornou a verificação de prova MMR, permitindo ao invasor cunhar 1 bilhão de DOT em ponte e despejá-los em liquidez escassa.
– Hiperponte (@hyperbridge) 16 de abril de 2026
“Nossa estimativa pública inicial da perda realizada foi de aproximadamente US$ 237.000, com base na venda imediatamente observável de pontes PONTO sobre Ethereum“, acrescentaram. “Esse número não capturava o quadro completo, soubemos mais tarde.”
Além dos US$ 237.000 em perdas observáveis, um contrato inteligente foi explorado por 245 ETH ou cerca de US$ 561.000 horas antes da cunhagem maliciosa do token DOT. Além disso, três blockchains conectados—Base, Arbitrageme Cadeia BNB— também foram impactados, contradizendo o relatório original da equipe de que apenas o DOT embrulhado no Ethereum foi afetado.
“Após a reconciliação da atividade do invasor em cada uma das quatro cadeias, a natureza de duas fases do ataque e as perdas dos pools de incentivos associados, a perda total realizada revisada é de aproximadamente US$ 2,5 milhões, denominada em ETH e DOT no momento da exploração”, escreveu.
Os fundos roubados foram rastreados até um endereço de depósito na Binance, e a empresa contratou a equipe de conformidade da bolsa centralizada e as autoridades relevantes na tentativa de congelar e recuperar os ativos roubados – mas não espera uma resolução em breve.
“Estamos buscando todos os canais disponíveis, mas o cronograma realista para uma recuperação significativa em um caso deste tipo é medido em meses e pode se estender até um ano”, acrescentou.
Embora seu objetivo seja recuperar todos os usuários afetados, reembolsando os fundos que foram comprometidos, o protocolo indicou que está “comprometido com uma alocação estruturada de tokens BRIDGE para cobrir a perda residual”, caso não seja capaz de fazê-lo.
Mas BRIDGE, seu token de protocolo nativo, mantém volumes extremamente baixos, sendo negociado pela última vez em US$ 1.800 em 24 horas, quando mudou de mãos por cerca de US$ 0,006 em 29 de março. de acordo com dados da CoinGecko. Nessa faixa de preço, o token tinha um valor de mercado de cerca de US$ 858.000, cerca de um terço das perdas totais de sua exploração.
A funcionalidade de ponte nos quatro blockchains afetados permanece pausada e só será retomada depois que um patch for implantado e auditado.
“Isso não muda nossa convicção de que a interoperabilidade entre cadeias só é segura por meio de provas criptográficas”, escreveu a equipe do protocolo.
“O que essa exploração deixou claro, de maneira dispendiosa, é que a lógica de verificação precisa de auditorias e testes adversários mais frequentes em todas as camadas da pilha”, acrescentou. “Esse é o padrão que o Token Gateway irá operar daqui para frente.”
Comece cada dia com as principais notícias do momento, além de recursos originais, podcast, vídeos e muito mais.
Fontedecrypt
