Les hackers ont volé 237 000 $ dans l'exploit Bridged-Polkadot après avoir créé 1 milliard de DOT et les avoir convertis en 108 ETH

Des hackers ont exploité une vulnérabilité dans le contrat de passerelle Ethereum du bridge cross-chain Hyperbridge plus tôt aujourd'hui, frappant 1 milliard de tokens Polkadot (DOT) enveloppés non autorisés et les échangeant contre environ 108,2 ETH, d'une valeur d'au moins 237 000 $ en une seule transaction.
L'attaque, qui s'est produite vers 3h55 UTC, ne ciblait que les actifs DOT pontés sur Ethereum et a laissé la blockchain Ethereum native de Polkadot, les parachains, le staking et la gouvernance intacts. Hyperbridge, un protocole d'interopérabilité décentralisé basé sur Polkadot qui connecte des actifs entre les chaînes en utilisant son protocole ISMP (Interoperability State Machine Protocol), a confirmé la violation dans un message sur X peu après sa détection. « Un exploit a affecté l'un de nos contrats Ethereum », a déclaré l'équipe. « Nous avons suspendu tous les pontages et conseillé aux partenaires d'arrêter les transactions associées pendant que l'équipe contient le problème. »

Le compte officiel de Polkadot a fait écho à cette assurance quelques heures plus tard. « Nous sommes au courant d'un problème affectant le contrat de passerelle Ethereum de @hyperbridge », a-t-il publié.

« L'exploit n'affecte que les DOT sur Ethereum qui sont pontés via Hyperbridge et n'affecte pas les DOT dans l'écosystème Polkadot ou les DOT pontés via d'autres bridges. Polkadot, ses parachains et les DOT natifs restent sécurisés et non affectés. »

Les mécanismes de l'exploit Bridged-Polkadot

​Vérifié par des analystes on-chain et des entreprises de sécurité, dont CertiK, l'exploit a été exécuté dans le bloc 24 868 295 via le hash de transaction 0x240a…1109. Le portefeuille de l'attaquant (0xC513…F8E7), une adresse vieille de 33 jours, a déployé un sous-contrat malveillant et soumis des preuves de consensus Polkadot falsifiées via le contrat HandlerV1.

Les chercheurs en sécurité ont retracé la cause profonde à un trio de failles critiques. Premièrement, la période de contestation du bridge était définie à zéro, supprimant toute fenêtre de litige et permettant à l'engagement d'état falsifié d'être accepté instantanément. Deuxièmement, il y avait une validation insuffisante dans la fonction de vérification de preuve du contrat HandlerV1. Enfin, le contrat client de consensus (0xA0Ad…669a) manquait de vérification publique du code source. Se préparant pendant des mois, l'attaquant a réussi à financer le portefeuille via des outils de confidentialité, notamment les pools zk-shielded de Railgun et Synapse Bridge, effectuant des déploiements de test sur un état en direct avant l'attaque.

Une fois aux commandes, l'attaquant a changé l'administrateur du contrat de token DOT ponté (0x8d01…90b8) et a frappé la totalité des 1 milliard de tokens. La fausse offre a ensuite été acheminée via des routeurs d'échange décentralisés, dont Uniswap V4, drainant les pools de liquidités disponibles. L'échange a rapporté 108,2 ETH avant que les bots MEV ne reproduisent des parties de l'exploit sur d'autres actifs enveloppés Hyperbridge tels que ARGN, MANTA et CERE. Les pertes totales réalisées lors de l'incident sont estimées à 250 000 $ en incluant les extractions secondaires, bien que le butin principal soit resté limité par une faible liquidité.

Lire aussi : World Liberty Financial (WLFI) lié à Trump va poursuivre Justin Sun dans un litige DeFi de 75 millions de dollars
L'incident a déclenché des réactions immédiates du marché. Les prix du DOT ponté dans les pools affectés se sont effondrés d'environ 1,22 $ à près de zéro. Les bourses sud-coréennes Upbit et Bithumb ont suspendu les dépôts et les retraits de DOT par précaution. Les positions à effet de levier ont connu plus de 728 000 $ de liquidations, et la liquidité DeFi plus large liée aux actifs enveloppés Hyperbridge a subi des perturbations temporaires, effaçant environ 20 millions de dollars de valeur notionnelle des pools.
Hyperbridge alimente plusieurs tokens ERC-6160 des parachains Polkadot, faisant de la passerelle un point de défaillance commun pour plusieurs actifs pontés. Le contrat EthereumHost a ensuite été entièrement gelé pour empêcher d'autres dommages. Au moment du dépôt de ce rapport, les fonds de l'attaquant ont été observés se déplaçant via des retraits Railgun supplémentaires par incréments de 15 ETH vers de nouveaux portefeuilles de sortie, sans aucun grand pontage détecté pour le moment.

Cela marque le dernier d'une série d'exploits liés aux bridges qui ont frappé la finance décentralisée, où des milliards ont été perdus historiquement en raison de lacunes de validation de preuves et d'erreurs de configuration. Hyperbridge s'était positionné comme une alternative sécurisée, vérifiée cryptographiquement, exploitant les mécanismes de consensus GRANDPA et BEEFY de Polkadot. L'attaque souligne comment même des conceptions avancées peuvent échouer lorsque des paramètres clés comme les périodes de contestation sont minimisés ou lorsque les contrats de vérification en amont manquent d'audits publics du code source.
Aucun rapport médico-légal complet d'Hyperbridge ou de Polkadot n'a été publié alors que les enquêtes se poursuivent. Les entreprises de sécurité blockchain CertiK et des analystes indépendants continuent de surveiller les mouvements de l'attaquant. L'incident sert de rappel des risques persistants dans l'infrastructure cross-chain, même pour les protocoles construits sur des réseaux établis comme Polkadot.