Эксплойт моста Hyperbridge: злоумышленник выпустил 1 млрд DOT и заработал $237 000

Атака на Hyperbridge: подделка сообщения и смена администратора

13 апреля неизвестный хакер провёл атаку на смарт-контракт кроссчейн-моста Hyperbridge. Используя поддельное сообщение, злоумышленник сменил администратора контракта токена Polkadot на блокчейне Ethereum, после чего сгенерировал 1 млрд DOT в формате ERC-20. Об инциденте первыми сообщили аналитики CertiK.

«We have seen an exploit on the @hyperbridge gateway contract. The attacker slipped through a forged message to change the admin of Polkadot token contract on Ethereum and profited ~$237K from minting and selling 1B tokens.» — CertiK Alert (@CertiKAlert), оригинальный пост

Сразу после минтинга хакер реализовал весь объём одной транзакцией, получив 108,2 ETH — примерно $237 000. Основная сеть Polkadot при этом не пострадала: эксплойт затронул исключительно ERC-20 обёртку нативного токена DOT, функционирующую на Ethereum.

На фоне новостей о взломе курс DOT просел на 4%, опустившись до $1,19. Команда Hyperbridge на момент публикации не предоставила официальных комментариев по поводу произошедшего.

Почему это важно

Кроссчейн-мосты остаются одним из наиболее уязвимых элементов DeFi-инфраструктуры. Атаки на мосты неоднократно приводили к многомиллионным потерям — достаточно вспомнить крупнейшие инциденты прошлых лет. Случай с Hyperbridge показывает, что даже при относительно небольшом размере ущерба ($237 000) подобные эксплойты способны влиять на рыночную стоимость крупных активов: курс DOT отреагировал падением на 4%.

Ключевой вектор атаки — подмена административного доступа через поддельное сообщение — указывает на недостаточную валидацию входящих данных в смарт-контракте моста. Это создаёт прецедент, требующий аудита аналогичных механизмов в других кроссчейн-решениях.

Фронтмен G. Love потерял $420 000 из-за поддельного кошелька Ledger

Параллельно с эксплойтом Hyperbridge стало известно о другом инциденте. 11 апреля Гарретт Даттон — музыкант, известный как G. Love, — сообщил об утрате 5,9 BTC (около $420 000). Причиной стало поддельное приложение Ledger, загруженное из App Store.

«I had a really tough day today I lost my retirement fund in a hack/Scam when I switched my @Ledger over to my new computer and by accident downloaded a malicious ledger app from the @Apple store. All my BTC gone in an instant.» — G. Love (@glove), оригинальный пост

По словам Даттона, при настройке нового компьютера он скачал приложение, которое принял за официальный софт Ledger, и ввёл свою сид-фразу. Программа оказалась мошеннической, и все средства были мгновенно выведены.

Расследованием занялся ончейн-детектив ZachXBT, который отследил путь украденных 5,92 BTC. По его данным, злоумышленник перевёл активы на депозитные адреса биржи KuCoin девятью отдельными транзакциями.

«Hi I traced out your 5.92 BTC stolen and it was all laundered via @kucoincom deposit addresses in the following transactions...» — ZachXBT (@zachxbt), оригинальный пост

Ни Ledger, ни Apple на момент публикации не прокомментировали ситуацию с фейковым приложением в App Store. Случай напоминает о прошлогодних инцидентах, когда мошенники атаковали владельцев аппаратных кошельков, рассылая бумажные письма с просьбой ввести сид-фразу.

Выводы для держателей криптоактивов

Оба инцидента подчёркивают сохраняющиеся риски в криптоиндустрии: уязвимости смарт-контрактов мостов и социальная инженерия через поддельные приложения. Пользователям рекомендуется загружать кошельки исключительно с официальных сайтов проектов и никогда не вводить сид-фразу в непроверенные приложения.