Das Team gibt zu, dass die Hackverluste bei Polkadot-Ethereum Bridge zehnmal schlimmer waren als gemeldet
Kurz gesagt
Der Exploit von Hyperbridge war etwa zehnmal schlimmer als ursprünglich befürchtet, mit geschätzten Verlusten von nunmehr rund 2,5 Millionen US-Dollar.
Das Protokoll berichtete ursprünglich, dass Anfang dieser Woche lediglich 237.000 US-Dollar an Geldern ausgenutzt wurden.
Der Großteil der gestohlenen Gelder wurde aufgespürt, und das Unternehmen arbeitet mit den Strafverfolgungsbehörden zusammen, in der Hoffnung, die Vermögenswerte einzufrieren und wiederzuerlangen.
Laut dem Team hinter Hyperbridge ist ein Exploit, der Anfang dieser Woche zur Prägung von 1 Milliarde verpackten Polkadot-Token ($DOT) führte, noch schlimmer als ursprünglich berichtet.
Was ursprünglich auf einen Token-Verlust im Wert von 237.000 US-Dollar im Zusammenhang mit der Polkadot-Ethereum-Brücke geschätzt wurde, liegt tatsächlich eher bei 2,5 Millionen US-Dollar – eine mehr als zehnfache Steigerung gegenüber dem ersten Bericht.
„Ein Angreifer hat eine Schwachstelle in der Proof-Verifizierungslogik der Merkle Mountain Range (MMR) ausgenutzt, die es dem Täter ermöglicht, Vermögenswerte zu prägen und treuhänderische Vermögenswerte auf Token Gateway abzuziehen“, veröffentlichte das Team in einer Obduktion am Donnerstag.
Der Angreifer erbeutete etwa 245 $ETH aus einem entsprechenden TokenGateway-Vertrag.
Ungefähr eine Stunde später umging eine gefälschte Cross-Chain-Nachricht die MMR-Beweisüberprüfung und ermöglichte es dem Angreifer, 1 Milliarde überbrückte $DOT zu prägen und sie in dünne Liquidität zu stecken.
– Hyperbridge (@hyperbridge) 16. April 2026
„Unsere erste öffentliche Schätzung des realisierten Verlusts lag bei etwa 237.000 US-Dollar, basierend auf dem sofort beobachtbaren Ausverkauf des überbrückten $DOT auf Ethereum“, fügten sie hinzu. „Diese Zahl spiegelte nicht das Gesamtbild wider, wie wir später erfuhren.“
Zusätzlich zu den beobachtbaren Verlusten in Höhe von 237.000 US-Dollar wurde ein Smart Contract Stunden vor der böswilligen Prägung von $DOT-Token für 245 US-Dollar ETH oder etwa 561.000 US-Dollar ausgenutzt. Darüber hinaus waren auch drei verbundene Blockchains – Base, Arbitrum und BNB Chain – betroffen, was im Widerspruch zum ursprünglichen Bericht des Teams steht, dass nur $DOT auf Ethereum betroffen war.
„Nach Abgleich der Angreiferaktivitäten in jeder der vier Ketten, der zweiphasigen Natur des Angriffs und der Verluste aus den damit verbundenen Anreizpools beläuft sich der revidierte realisierte Gesamtverlust auf etwa 2,5 Millionen US-Dollar, denominiert in $ETH und $DOT zum Zeitpunkt des Exploits“, heißt es darin.
Die gestohlenen Gelder wurden auf eine Einzahlungsadresse auf Binance zurückgeführt, und das Unternehmen hat das Compliance-Team der zentralen Börse und die zuständigen Strafverfolgungsbehörden damit beauftragt, die gestohlenen Vermögenswerte einzufrieren und zurückzugewinnen – es wird jedoch nicht mit einer baldigen Lösung gerechnet.
„Wir verfolgen jeden verfügbaren Kanal, aber der realistische Zeitrahmen für eine sinnvolle Wiederherstellung in einem Fall dieser Art wird in Monaten gemessen und kann bis zu einem Jahr dauern“, fügte er hinzu.
Während sein Ziel darin besteht, alle betroffenen Benutzer wieder gesund zu machen und kompromittierte Gelder zurückzuzahlen, gibt das Protokoll an, dass es sich „zu einer strukturierten BRIDGE-Token-Zuteilung verpflichtet hat, um den Restverlust zu decken“, falls dies nicht möglich sein sollte.
Aber BRIDGE, sein natives Protokoll-Token, weist extrem niedrige Volumina auf und wurde laut Daten von CoinGecko zuletzt innerhalb von 24 Stunden mit 1.800 US-Dollar gehandelt, als es am 29. März für etwa 0,006 US-Dollar den Besitzer wechselte. Zu diesem Preis hatte der Token eine Marktkapitalisierung von rund 858.000 US-Dollar, was etwa einem Drittel der Gesamtverluste aus seinem Exploit entspricht.
Die Überbrückungsfunktionalität auf den vier betroffenen Blockchains bleibt angehalten und wird erst wieder aufgenommen, nachdem ein Patch bereitgestellt und geprüft wurde.
„Dies ändert nichts an unserer Überzeugung, dass die kettenübergreifende Interoperabilität nur durch kryptografische Beweise sicher ist“, schrieb das Protokollteam.
„Was dieser Exploit auf kostspielige Weise deutlich gemacht hat, ist, dass die Verifizierungslogik häufigere Audits und kontroverse Tests auf jeder Ebene des Stacks erfordert“, fügte er hinzu. „Das ist der Standard, nach dem Token Gateway künftig arbeiten wird.“