Hyperbridge 的一个漏洞使得黑客能够在以太坊上铸造 10 亿个Polkadot桥代币,并提取约 237,000镁,这再次引发了关于区块链桥安全性的争论。
一名黑客挖矿Hyperbridge 跨链互操作协议(基于Polkadot)中的一个漏洞,获利约 237,000镁,并上涨对区块链桥接基础设施安全性的担忧。
根据安全平台 CertiKChia的区块链数据,攻击者通过 Hyperbridge 平台,在一笔交易中以桥接形式铸造了 10 亿枚Polkadot ( DOT)代币。Polkadot 周一在 X 平台上发布的一篇文章中表示,此次攻击仅影响了通过 Hyperbridge 桥接的以太坊上的 DOT,而原生 DOT 和整个Polkadot生态系统均未受到影响。
CertiK 表示,黑客通过“插入仿盘信息更改以太坊上Polkadot代币合约的管理员权限”来铸造这些代币。由于 DOT 桥池流动性有限,黑客获得的代币数量被限制在 108.2 姨太,约合 237,000镁。
Hyperbridge 在漏洞利用后暂时停止运行。
攻击发生后,Hyperbridge 服务一度中断,团队进行了系统升级。一位名为 Web3 Philosopher 的贡献者表示,初步诊断表明,攻击原因是恶意证明欺骗了协议的默克尔树验证器。
此次漏洞事件之所以引人注目,是因为 Hyperbridge 此前一直标榜自身是一个基于证明的互操作层,旨在为跨链桥提供“完整的节点级安全保障”。此外,就在 Aethir 上周披露他们已修复另一个跨链桥漏洞(用户损失低于 9 万镁)后不久,此次事件就发生了。
安全研究公司 Blocksec Falcon 认为,原因可能是 Merkle Mountain Range (MMR) 中的重放证明漏洞,这是由于证明和请求之间缺乏绑定造成的,尽管该协议尚未确认官方原因。
据 CoinGecko 数据显示,原生 DOT代币周一一度下降当日低点 1.16镁,随后回升至发稿时 1.19镁以上。
黑客挖矿子查询网络窃取了 13 万镁。
尽管与去年同期相比,DeFi漏洞造成的总损失大幅下降,但加密协议的安全事件仍在继续发生。
周日,SubQuery Network数据索引协议也遭到挖矿,由于数据缺乏访问控制机制,导致约 13 万镁的损失,暴露了两年前编写的代码中的一个漏洞。
据区块链安全审计专家帕绍夫在 X 上Chia显示,这种漏洞允许黑客将自己的合约设置为接收Staking奖励的地址。
2026 年第一季度,黑客从 34 个去中心化金融 (DeFi) 协议中窃取了超过 1.68 亿镁,与 2025 年第一季度被盗的 15.8 亿镁相比大幅下降——当时发生了创纪录的 14 亿镁Bybit黑客攻击事件。
