Bridged-Polkadot漏洞事件：黑客盗取23.7万美元，铸币十亿DOT后兑换108以太币_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

Bridged-Polkadot漏洞事件：黑客盗取23.7万美元，铸币十亿DOT后兑换108以太币

2026-04-13 21:10:12

黑客利用跨链桥漏洞铸造十亿虚假代币

今日凌晨，黑客利用Hyperbridge跨链桥的以太坊网关合约漏洞，私自铸造了10亿枚封装波卡代币，并通过单笔交易将其兑换为约108.2枚以太坊，价值至少23.7万美元。

此次攻击发生在世界标准时间凌晨3点55分左右，仅针对以太坊上通过该桥接的波卡资产，未波及波卡原生区块链、平行链、质押及治理功能。基于波卡构建的互操作协议Hyperbridge在使用其互操作状态机协议连接多链资产时遭遇安全漏洞，团队在事件发生后于社交平台发布声明称：“我们的一个以太坊合约遭受攻击，目前已暂停所有桥接服务，并建议合作伙伴暂停相关交易。”

数小时后，波卡官方账号进一步说明情况：“我们注意到Hyperbridge以太坊网关合约存在问题。此次漏洞仅影响通过Hyperbridge桥接至以太坊的波卡代币，波卡生态系统内的原生代币及其他桥接通道的资产均未受影响。波卡主网、平行链及原生代币依然安全。”

攻击技术细节剖析

根据区块链分析师及安全公司验证，攻击发生于第24,868,295个区块，交易哈希为0x240a…1109。攻击者使用一个创建仅33天的钱包地址，通过部署恶意子合约并向HandlerV1合约提交伪造的波卡共识证明完成入侵。

安全研究人员追溯发现三大关键漏洞：首先，该桥接合约的挑战期被设为零，使得伪造的状态承诺可被立即接受；其次，HandlerV1合约的证明验证功能存在校验缺陷；最后，共识客户端合约未进行公开源代码验证。攻击者通过隐私工具为该钱包提供资金，并在攻击前进行了实际环境测试部署。

取得控制权后，攻击者修改了桥接代币合约的管理权限，铸造了全部10亿代币。随后通过去中心化交易所路由转移虚假资产，耗尽了流动池中的可用资金。在套利机器人复制攻击模式至其他封装资产前，攻击者已获得108.2枚以太坊。计入次级提取损失后，事件总损失约25万美元，主要受限于流动池规模。

市场连锁反应

事件引发即时市场震荡：受影响流动池中桥接波卡价格从约1.22美元暴跌至近乎归零。韩国多家交易所暂停代币充提业务作为预防措施。杠杆仓位清算金额超72.8万美元，与Hyperbridge封装资产相关的流动性出现暂时中断，池内名义价值损失约2000万美元。

由于Hyperbridge为多条波卡平行链的封装代币提供支持，其网关合约成为多个桥接资产的共同故障点。以太坊主网合约现已完全冻结以防止损失扩大。截至发稿时，攻击者资金正通过隐私协议以小额度转移至新钱包，尚未检测到大额跨链转移。

这已是去中心化金融领域接连发生的又一起桥接攻击事件。尽管Hyperbridge曾以波卡共识机制为基础构建加密验证体系，但本次攻击表明：当挑战期等关键参数设置不当或上游验证合约缺乏公开审计时，即使先进的设计方案也可能失效。

目前相关方尚未发布完整取证报告，区块链安全公司及独立分析师持续监控资金动向。该事件再次警示，即便基于波卡等成熟网络构建的协议，跨链基础设施仍面临持续风险。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文