Найжахливіша крадіжка? Хакери створили 1 мільярд доларів $DOT через «цю причину» і вкрали лише 230 тисяч доларів

Зломи криптовалютних атак трапляються один за одним, але випадки, коли «ризикуєш великим, заробляєш малим», справді рідкісні. Сьогодні (13 числа) раніше хакер використав уразливість міжланцюгового мосту Hyperbridge, щоб уявно створити 10 мільярдів Polkadot (DOT) на Ethereum, номінальною вартістю до 11.9 мільярдів доларів США. Однак, коли він намагався продати ці токени, через серйозний дефіцит ліквідності він отримав лише близько 237 тисяч доларів США в ETH. Потрібно уточнити, що цілью хакерської атаки був «розумний контракт міжланцюгового мосту», тому рідний DOT на мережі Polkadot не постраждав. Основною причиною цієї уразливості стала неправильна перевірка достовірності повідомлення у контракті EthereumHost Hyperbridge перед передачею міжланцюгового повідомлення TokenGateway.

Міст між ланцюгами $DOT (@Polkadot) був скомпрометований на @ethereum.

Контроль був переданий контракту зловмисника, потім було створено 1 мільярд $DOT і миттєво продано. Ціна впала з $1.22 до дрібних часток цента.https://t.co/ECDT0RaHE9 фото.twitter.com/WUwxjtsNwr

— Onchain Lens (@OnchainLens) 13 квітня 2026

Мости між ланцюгами завжди були найуразливішим елементом архітектури блокчейну, оскільки вони мають управління контрактами токенів. Як тільки зламати механізм перевірки, хакери легко отримують необмежене право на створення токенів. Методи атаки: підробка повідомлень, захоплення управління, необмежене створення токенів На блокчейні видно, що зловмисник через dispatchIncoming подав підроблене повідомлення і успішно направив його до TokenGateway.onAccept. Спочатку система повинна була перевірити достовірність повідомлення за станом у мережі Polkadot, але механізм перевірки записав обіцянку як «повністю нульову», що означає, що процес перевірки був повністю обійдений або його взагалі не існувало, тому система сприйняла цю фальшиву команду як легітимну. Прийняте повідомлення одразу запустило функцію changeAdmin для мостового контракту Polkadot, передаючи права адміністратора зловмиснику. Отримавши управління, зловмисник у одній транзакції створив 10 мільярдів DOT і через Odos Router V3 ввів ці токени у торговий пул DOT-ETH на Uniswap V4. Після кількох обмінів за різними цінами він у підсумку отримав близько 108.2 ETH. «Недостатня ліквідність» стала захисним щитом У фінансових ринках «недостатня ліквідність» зазвичай є головною проблемою для великих гігантів, але іронія в тому, що цього разу її дефіцит став невидимим захистом, значно обмежуючи прибутки зловмисника. Через дуже обмежену глибину ліквідності DOT на Ethereum, ці 10 мільярдів створених токенів не могли бути поглинуті, і коли хакер почав швидко продавати їх, різке падіння цін призвело до того, що реальна ціна кожного токена становила менше одного цента. Якщо б цей же уразливий механізм був застосований до мостових активів з більшою ліквідністю або більшою вартістю, збитки могли б сягати десятків разів. На момент написання статті ціна DOT становила приблизно 1.17 долара, за останні 24 години знизилася на 5%. Цей інцидент знову показує: навіть якщо зловмисник має «необмежене право на створення токенів», успіх у арбітражі все ще залежить від ринкової ліквідності та глибини торгів. Відомий блокчейн-інформаційний орган CertiK підтвердив цей інцидент і повідомив, що зловмисник отримав прибуток близько 237 тисяч доларів США шляхом створення та продажу мостових токенів. На даний момент офіційні представники Hyperbridge не зробили публічних коментарів щодо інциденту.

#CertiKInsight 🚨

Ми зафіксували злом у контракті шлюзу @hyperbridge. https://t.co/h27iDm1JGd

Зловмисник проник через підроблене повідомлення, щоб змінити адміністратора контракту токена Polkadot на Ethereum і отримав прибуток близько $237K від створення та продажу 1 мільярда токенів.

Залишайтеся… фото.twitter.com/3t2n4uq5hy

— CertiK Alert (@CertiKAlert) 13 квітня 2026