Les pertes de piratage du pont Polkadot-Ethereum étaient 10 fois pires que celles signalées, admet l'équipe
En bref
L'exploit d'Hyperbridge était environ 10 fois pire que ce que l'on craignait initialement, avec des pertes estimées désormais à environ 2,5 millions de dollars.
Le protocole indiquait initialement que seulement 237 000 $ de fonds avaient été exploités plus tôt cette semaine.
La majeure partie des fonds volés a été retrouvée et la société travaille avec les forces de l'ordre dans l'espoir de geler et de récupérer les avoirs.
Un exploit qui a conduit à la création d'un milliard de jetons Polkadot ($ DOT) enveloppés plus tôt cette semaine est encore pire que ce qui avait été initialement signalé, selon l'équipe derrière Hyperbridge.
Ce qui était initialement estimé à 237 000 $ de pertes symboliques liées au pont Polkadot-Ethereum est en réalité plus proche de 2,5 millions de dollars, soit une augmentation de plus de 10 fois par rapport au rapport initial.
"Un attaquant a exploité une vulnérabilité dans la logique de vérification de la preuve Merkle Mountain Range (MMR), permettant au coupable de créer des actifs et de drainer les actifs déposés sur Token Gateway", a publié l'équipe dans un post-mortem de jeudi.
L'attaquant a extrait environ 245 $ ETH d'un contrat TokenGateway associé.
Environ une heure plus tard, un faux message inter-chaînes a contourné la vérification de la preuve MMR, permettant à l'attaquant de frapper 1 milliard de dollars DOT pontés et de les jeter dans de fines liquidités.
– Hyperbridge (@hyperbridge) 16 avril 2026
"Notre estimation publique initiale de la perte réalisée était d'environ 237 000 $, sur la base de la vente immédiatement observable du $ DOT ponté sur Ethereum", ont-ils ajouté. « Ce chiffre ne reflète pas une image complète, avons-nous appris plus tard. »
En plus des 237 000 $ de pertes observables, un contrat intelligent a été exploité pour 245 $ ETH, soit environ 561 000 $ d'heures avant la frappe malveillante du jeton $ DOT. De plus, trois blockchains connectées – Base, Arbitrum et BNB Chain – ont également été touchées, contredisant le rapport original de l'équipe selon lequel seul le $DOT enveloppé sur Ethereum était affecté.
"Après le rapprochement de l'activité des attaquants sur chacune des quatre chaînes, la nature en deux phases de l'attaque et les pertes provenant des pools d'incitations associés, la perte totale réalisée révisée est d'environ 2,5 millions de dollars, libellée en $ ETH et $ DOT au moment de l'exploit", écrit-il.
Les fonds volés ont été retracés jusqu'à une adresse de dépôt sur Binance, et la société a engagé l'équipe de conformité de la bourse centralisée et les forces de l'ordre compétentes pour tenter de geler et de récupérer les actifs volés, mais elle ne s'attend pas à une résolution prochainement.
"Nous utilisons toutes les voies disponibles, mais le délai réaliste pour obtenir un rétablissement significatif dans une affaire de ce type se mesure en mois et peut s'étendre jusqu'à un an", ajoute-t-il.
Bien que son objectif soit de réparer tous les utilisateurs concernés, en remboursant les fonds compromis, le protocole a indiqué qu'il « s'engage à fournir une allocation structurée de jetons BRIDGE pour couvrir la perte résiduelle », s'il n'est pas en mesure de le faire.
Mais BRIDGE, son jeton de protocole natif, maintient des volumes extrêmement faibles, s'échangeant pour la dernière fois à 1 800 $ sur 24 heures lorsqu'il a changé de mains pour environ 0,006 $ le 29 mars, selon les données de CoinGecko. À ce niveau de prix, le jeton avait une capitalisation boursière d'environ 858 000 $, soit environ un tiers des pertes totales résultant de son exploit.
La fonctionnalité de pontage sur les quatre blockchains concernées reste suspendue et ne reprendra qu'après le déploiement et l'audit d'un correctif.
"Cela ne change rien à notre conviction selon laquelle l'interopérabilité entre chaînes n'est sécurisée que grâce à des preuves cryptographiques", a écrit l'équipe du protocole.
"Ce que cet exploit a montré clairement et à un coût élevé, c'est que la logique de vérification nécessite des audits et des tests contradictoires plus fréquents à chaque couche de la pile", ajoute-t-il. "C'est la norme Token Gateway qui fonctionnera à l'avenir."