摘要:2026年4月13日,Hyperbridge因以太坊侧合约漏洞被黑客利用,铸造10亿枚桥接DOT,但因池子流动性不足,实际套现仅约23.7万美元。事件暴露跨链桥在封装代币与真实资产间的风险错配。
Hyperbridge跨链漏洞致十亿代币虚铸,实收仅23.7万美元
2026年4月13日,一名匿名攻击者通过Hyperbridge协议的以太坊侧漏洞,在链上伪造了10亿枚桥接版Polkadot代币。尽管名义价值高达11亿美元,但受限于桥接资产池的浅薄流动性,最终仅实现约23.7万美元的实际变现。
攻击路径与技术细节披露:零地址铸造引发链上异常
该攻击行为针对Hyperbridge在以太坊网络中的代币生成机制,攻击者从零地址向钱包0x31a165a956842ab783098641db25c7a9067ca9ab批量注入10亿枚桥接DOT。交易哈希0x240aeb9a于世界标准时间03:55:23完成执行。
链上追踪数据显示,此次伪造铸造覆盖了以太坊侧桥接代币的完整路径。虽然名义面值接近11亿美元,但攻击者仅成功兑换出108.206143512481490001 ETH,按当时价格折算约为23.7万美元。
漏洞根源指向两个核心合约:以太坊侧的HandlerV1(地址0x6C84eDd2A018b1fe2Fc93a56066B5C60dA4E6D64)与TokenGateway(地址0xFd413e3AFe560182C4471F4d143A96d3e259B6dE),而桥接代币合约本身位于0x8d010bf9c26881788b4e6bf5fd1bdc358c8f90b8。
流动性瓶颈导致价值蒸发:浅池抛售引发价格归零
攻击者所铸代币为封装型表征资产,并非原生Polkadot代币,其市场价值完全依赖于以太坊上特定交易池的深度。当10亿枚代币集中抛售至Uniswap V4池时,流动性瞬间被抽干,价格迅速趋近于零。
在价格崩溃前,该池仅能承接约108 ETH的卖出压力,即全部套现额度。此类现象在跨链攻击中屡见不鲜——大量伪造代币无法创造真实价值,其本质是利用桥接系统对流动性配对的依赖性进行资源榨取。
据非官方分析推测,根本原因或源于缺失请求绑定机制,导致MMR证明可被重复使用。截至目前,Hyperbridge尚未发布正式的技术复盘报告。
原生资产安然无恙,但市场信心受创
本次漏洞仅波及经由Hyperbridge跨链至以太坊的桥接版本DOT,Polkadot主网上的原生代币及其生态未受影响。然而,市场反应剧烈,DOT现货价跌至1.18美元,24小时内跌幅达4.4%,当前市值约19.7亿美元,24小时交易量逼近2.716亿美元。
当前加密恐惧与贪婪指数已滑落至12,进入“极度恐惧”区间。有未经证实消息指出,韩国多家交易所已暂停DOT相关充提服务,相关公告尚未获得独立验证。
跨链架构风险再警示:信任边界不可忽视
历史表明,跨链桥始终是加密领域最易被攻破的薄弱环节之一。即便原生链安全性稳固,以太坊侧的桥接合约仍可能成为系统性风险源。本次事件的关键脆弱点在于Hyperbridge在以太坊端的HandlerV1与TokenGateway合约,以及其所控制的桥接代币映射关系。
对于持有桥接资产的用户而言,此事件凸显了封装代币与底层资产之间存在的价值割裂风险。原生DOT持有者未受损,但为桥接池提供流动性的参与者面临实质损失。
随着机构资本持续流入数字资产领域,桥接协议的安全审计水平与流动性储备深度或将迎来更严苛的审查。未来,Hyperbridge是否公布根本原因分析并修复受影响路径,将成为市场关注的核心焦点。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。