Потери от взлома моста Polkadot-Ethereum оказались в 10 раз хуже, чем сообщалось, команда признает
Вкратце
Эксплойт Hyperbridge оказался примерно в 10 раз хуже, чем первоначально предполагалось, а предполагаемые убытки сейчас составляют около 2,5 миллионов долларов.
Первоначально в протоколе сообщалось, что ранее на этой неделе было использовано всего 237 000 долларов США.
Большая часть украденных средств была обнаружена, и фирма сотрудничает с правоохранительными органами в надежде заморозить и вернуть активы.
По словам команды Hyperbridge, эксплойт, который привел к чеканке 1 миллиарда завернутых токенов Polkadot ($DOT) в начале этой недели, даже хуже, чем первоначально сообщалось.
Первоначально предполагалось, что потери токенов, связанные с мостом Polkadot-Ethereum, составят 237 000 долларов, но на самом деле они приближаются к 2,5 миллионам долларов — более чем в 10 раз больше, чем в первоначальном отчете.
«Злоумышленник воспользовался уязвимостью в логике проверки доказательств Merkle Mountain Range (MMR), позволив злоумышленнику чеканить активы и истощать депонированные активы на Token Gateway», — сообщила команда в отчете в четверг.
Злоумышленник извлек примерно 245 долларов ETH из связанного контракта TokenGateway.
Примерно через час поддельное межсетевое сообщение обошло проверку доказательства MMR, что позволило злоумышленнику отчеканить 1 миллиард мостовых $DOT и сбросить их в тонкую ликвидность.
– Гипермост (@hyperbridge) 16 апреля 2026 г.
«Наша первоначальная публичная оценка реализованных убытков составила примерно 237 000 долларов США, исходя из немедленно наблюдаемой распродажи мостовых $DOT на Ethereum», — добавили они. «Эта цифра не отражает полной картины, как мы узнали позже».
В дополнение к наблюдаемым потерям в размере $237 000, смарт-контракт был использован за 245 $ETH, или примерно за 561 000 долларов США за час до чеканки злонамеренного токена $DOT. Кроме того, были затронуты три связанных блокчейна — Base, Arbitrum и BNB Chain, что противоречит первоначальному отчету команды, согласно которому затронута только оболочка $DOT на Ethereum.
«После сверки активности злоумышленников в каждой из четырех цепочек, двухфазного характера атаки и потерь от связанных пулов стимулов, пересмотренный общий реализованный убыток составляет примерно 2,5 миллиона долларов, выраженных в долларах ETH и $DOT на момент эксплойта», — говорится в сообщении.
Украденные средства были отслежены до депозитного адреса на Binance, и фирма привлекла команду централизованной биржи по обеспечению соблюдения требований и соответствующие правоохранительные органы в попытке заморозить и вернуть украденные активы, но она не ожидает решения в ближайшее время.
«Мы используем все доступные каналы, но реалистичные сроки значимого выздоровления в случаях такого типа измеряются месяцами и могут продлиться до года», — добавили в нем.
Хотя его цель состоит в том, чтобы восстановить целостность всех пострадавших пользователей, вернув средства, которые были скомпрометированы, в протоколе указано, что он «привержен структурированному распределению токенов BRIDGE для покрытия остаточных потерь», если он не сможет это сделать.
Но BRIDGE, его собственный токен протокола, поддерживает чрезвычайно низкие объемы: последний раз торговался на уровне 1800 долларов за 24 часа, когда 29 марта он перешел из рук в руки по цене около 0,006 доллара, согласно данным CoinGecko. В этой ценовой категории рыночная капитализация токена составляла около $858 000, что составляло около одной трети общих потерь от его эксплуатации.
Функциональность моста в четырех затронутых блокчейнах остается приостановленной и возобновится только после развертывания и проверки исправления.
«Это не меняет нашего убеждения в том, что межсетевое взаимодействие безопасно только посредством криптографических доказательств», — написала команда протокола.
«Этот эксплойт прояснил, причем дорого, что логика проверки требует более частых проверок и состязательного тестирования на каждом уровне стека», — добавили в компании. «Это стандартный Token Gateway, который будет работать в будущем».