Хакер напечатал 1 млрд DOT из воздуха — и заработал всего $237K. Разбираем атаку на Hyperbridge

13 апреля кто-то взломал кросс-чейн мост Hyperbridge, связывающий Polkadot и Ethereum. Атакующий подделал межсетевое сообщение, получил права администратора на контракт обёрнутых DOT — и отчеканил миллиард токенов. Это в 2 800 раз больше, чем весь легитимный объём bridged DOT на Ethereum.

Но заработал хакер всего 108,2 ETH (~$237 000). Почему так мало и что это значит для индустрии мостов — разбираемся.

Hyperbridge — мост на протоколе ISMP (Interoperable State Machine Protocol). Он передаёт сообщения между цепочками через криптографические доказательства состояния (state proofs). Если одна сеть хочет «сказать» другой, что произошло действие — она отправляет доказательство, которое мост проверяет.

В теории.

На практике хакер обнаружил, что функция HandlerV1.handlePostRequests() в Ethereum-контракте моста не проверяет доказательства должным образом. Конкретно — баг был в верификации Merkle Mountain Range (MMR) proof: функция VerifyProof() не проверяла, что leaf_index меньше leafCount. Это позволило передать поддельное доказательство, которое контракт принял как настоящее.

Хакер сформировал фальшивый cross-chain state proof и отправил его в Hyperbridge gateway на Ethereum. Из-за бага в MMR-верификации контракт принял поддельное сообщение как легитимное.

Фальшивое сообщение содержало команду ChangeAssetAdmin — смену администратора контракта обёрнутых DOT на Ethereum. После выполнения права на управление токеном и чеканку (minting) перешли к адресу атакующего.

С новыми правами хакер вызвал mint() и отчеканил 1 000 000 000 DOT на Ethereum. Затем прогнал токены через Odos Router и пулы Uniswap v4, получив взамен 108,2 ETH (~$237 000).

Вот самая ироничная часть. Хакер напечатал токенов на $1 миллиард по номиналу. Но ликвидности в пулах обёрнутых DOT на Ethereum было ничтожно мало — всего ~356 000 bridged DOT в обращении. Когда миллиард токенов влетел в пул, цена мгновенно обрушилась до нуля, и хакер смог вытащить лишь то, что было в пуле.

Это классическая ситуация: неограниченный минт + неглубокая ликвидность = мизерный профит.

Важно: нативные DOT в сети Polkadot не пострадали. Атака затронула только обёрнутые (bridged) токены на Ethereum. Сама сеть Polkadot, стейкинг, другие мосты — всё работает штатно.

Команда Hyperbridge остановила мост сразу после обнаружения и начала расследование. CertiK и BlockSec подтвердили вектор атаки.

Ronin ($625M), Wormhole ($320M), Nomad ($190M) — и теперь Hyperbridge. Каждый раз баг в верификации сообщений или подписей. Мосты — это самый сложный тип смарт-контрактов, и ошибки в них обходятся дороже всего.

Hyperbridge использует MMR-proof верификацию — это серьёзная криптография. Но пропущенная проверка одного параметра (leaf_index < leafCount) обрушила всю систему. Один упущенный require() — и мост взломан.

Парадокс: если бы в пуле bridged DOT было $100M ликвидности — хакер бы забрал $100M. Неглубокая ликвидность сработала как предохранитель. Но это не стратегия безопасности — это удача.

~08:00 UTC — хакер отправляет поддельный state proof в Hyperbridge gateway

~08:01 — контракт принимает фейковое сообщение, права администратора bridged DOT переходят к атакующему

~08:02 — минт 1 000 000 000 DOT на Ethereum

~08:05 — слив через Odos Router → Uniswap v4 → 108,2 ETH

~08:30 — команда Hyperbridge обнаруживает аномалию, останавливает мост

~10:00 — CertiK публикует первичный анализ

~12:00 — BlockSec раскрывает корневую причину: баг в MMR-верификации

~13:00 — Upbit и Bithumb приостанавливают депозиты/вывод DOT

Хакер получил $237K, но урон репутации мостов — на миллиарды. Каждый такой инцидент напоминает: если у вас есть обёрнутые токены (wrapped/bridged) — вы доверяете свои деньги коду моста. А мосты ломаются регулярно.

Минимизируйте объём средств в bridged-токенах. Если держите обёрнутые активы — проверяйте TVL моста и историю аудитов. Следите за алертами (CertiK, BlockSec, PeckShield) — они часто сообщают о взломах раньше, чем проекты.

Если понравился разбор — подписывайтесь на Шумное Крипто. Ончейн-разборы, whale-алерты и горячие новости каждый день.