Hackers roubaram $237.000 na exploração Bridged-Polkadot após cunhar 1 mil milhões de DOT e convertê-los em 108 ETH

Os hackers exploraram uma vulnerabilidade no contrato de gateway Ethereum da cadeia cross-chain Hyperbridge no início de hoje, cunhando 1 mil milhões de tokens Polkadot (DOT) envolvidos não autorizados e trocando-os por cerca de 108,2 ETH, no valor de pelo menos 237.000 $ numa única transação.
O ataque, que ocorreu por volta das 3h55 UTC, teve como alvo apenas os ativos DOT em ponte no Ethereum e deixou intocados a blockchain nativa do Polkadot, as parachains, o staking e a governança. O Hyperbridge, um protocolo de interoperabilidade descentralizada baseado em Polkadot que conecta ativos entre chains usando o seu Interoperability State Machine Protocol (ISMP), confirmou a violação numa publicação no X pouco depois de ser detectada. "Um exploit afetou um dos nossos contratos Ethereum," afirmou a equipa. "Pausámos todas as pontes e aconselhamos os parceiros a interromper as transações relacionadas enquanto a equipa contém o problema."

A conta oficial do Polkadot ecoou a tranquilização horas depois. "Estamos cientes de um problema que afeta o contrato de gateway Ethereum do @hyperbridge," publicou.

"O exploit afeta apenas DOT no Ethereum que é conectado através do Hyperbridge e não afeta DOT no ecossistema Polkadot ou DOT conectado através de outras pontes. O Polkadot, as suas parachains e o DOT nativo permanecem seguros e não afetados."

A Mecânica do exploit Bridged-Polkadot

​Verificado por analistas on-chain e empresas de segurança, incluindo a CertiK, o exploit foi executado no bloco 24.868.295 através do hash de transação 0x240a…1109. A carteira do atacante (0xC513…F8E7), um endereço com 33 dias, implementou um subcontrato malicioso e submeteu provas de consenso Polkadot falsificadas através do contrato HandlerV1.

Os investigadores de segurança rastrearam a causa principal até um trio de falhas críticas. Primeiro, o período de contestação da ponte foi definido como zero, removendo qualquer janela de disputa e permitindo que o compromisso de estado falsificado fosse aceite instantaneamente. Segundo, houve validação insuficiente na função de verificação de prova do contrato HandlerV1. Finalmente, o contrato cliente de consenso (0xA0Ad…669a) não tinha verificação de código-fonte público. Preparando-se durante meses, o atacante financiou com sucesso a carteira através de ferramentas de privacidade, incluindo pools blindados zk Railgun e Synapse Bridge, realizando implementações de teste num estado ativo antes do ataque.

Uma vez no controlo, o atacante alterou o administrador do contrato de token DOT em ponte (0x8d01…90b8) e cunhou os 1 mil milhões de tokens completos. O fornecimento falso foi então encaminhado através de roteadores de exchange descentralizados, incluindo o Uniswap V4, drenando os pools de liquidez disponíveis. A troca rendeu 108,2 ETH antes que os bots MEV replicassem partes do exploit noutros ativos envolvidos do Hyperbridge, como ARGN, MANTA e CERE. As perdas totais realizadas em todo o incidente são estimadas em 250.000 $ quando se incluem extrações secundárias, embora o saque principal tenha permanecido limitado pela Baixa Liquidez.

Leia também: World Liberty Financial (WLFI) ligada a Trump vai processar Justin Sun numa disputa DeFi de 75 milhões de dólares
O incidente desencadeou reações imediatas do mercado. Os preços do DOT em ponte nos pools afetados colapsaram de cerca de 1,22 $ para perto de zero. As exchanges sul-coreanas Upbit e Bithumb suspenderam os depósitos e levantamentos de DOT como precaução. As posições alavancadas viram mais de 728.000 $ em liquidações, e a liquidez DeFi mais ampla ligada aos ativos envolvidos do Hyperbridge experimentou perturbações temporárias, eliminando cerca de 20 milhões de dólares em valor nocional dos pools.
O Hyperbridge alimenta múltiplos tokens ERC-6160 de parachains Polkadot, tornando o gateway num ponto de falha partilhado para vários ativos em ponte. O contrato EthereumHost foi posteriormente totalmente congelado para evitar mais danos. No momento da apresentação deste relatório, os fundos do atacante foram observados a moverem-se através de levantamentos adicionais Railgun em incrementos de 15 ETH para novas carteiras de saída, sem grandes saídas de ponte detectadas ainda.

Isto marca o mais recente numa série de explorações relacionadas com pontes que têm assolado as finanças descentralizadas, onde milhares de milhões foram perdidos historicamente devido a lacunas de validação de prova e erros de configuração. O Hyperbridge tinha-se posicionado como uma alternativa segura e verificada criptograficamente, alavancando os mecanismos de consenso GRANDPA e BEEFY do Polkadot. O ataque destaca como até designs avançados podem falhar quando parâmetros-chave como períodos de contestação são minimizados ou quando contratos de verificação upstream não possuem auditorias de código-fonte público.
Nenhum relatório forense completo do Hyperbridge ou Polkadot foi divulgado enquanto as investigações continuam. As empresas de segurança Blockchain CertiK e analistas independentes continuam a monitorizar os movimentos do atacante. O incidente serve como um lembrete dos riscos persistentes na infraestrutura cross-chain, mesmo para protocolos construídos em redes estabelecidas como o Polkadot.