Уязвимость в Hyperbridge: хакер выпустил 1 млрд DOT и заработал $237 000, пока никто не заметил

Весь объем был продан одной транзакцией за 108,2 ETH (~$237 000). Курс DOT упал на 4%

Хронология атаки

1. Хакер формирует и отправляет forged message (поддельное сообщение) в gateway-контракт Hyperbridge на Ethereum.
2. Контракт обрабатывает сообщение без надлежащей верификации и меняет адрес администратора ERC-20 контракта DOT на кошелек злоумышленника.
3. Получив права администратора, хакер чеканит (минтит) 1 млрд токенов DOT на Ethereum.
4. Весь выпущенный объем продается одной транзакцией за 108,2 ETH (~$237 000).

Что важно понимать о масштабе

Ключевое уточнение: атака не затронула основную сеть Polkadot и нативные DOT. Жертвой взлома стала только ERC-20-обертка (wrapped версия) токена DOT, работающая на Ethereum через мост Hyperbridge. Это принципиальное различие: реальные DOT у держателей в основной сети остались нетронутыми, но сам факт эксплойта и вброс 1 млрд «левых» токенов создал панику на рынке. На момент публикации курс DOT снизился на 4% — до $1,19.

Бонус из того же материала: поддельный Ledger в App Store

Параллельно с новостью об эксплойте Hyperbridge ForkLog сообщает о другом инциденте: фронтмен группы G. Love Гарретт Даттон потерял 5,9 BTC (~$420 000), скачав мошенническое приложение Ledger из Apple App Store. Онлайн-детектив ZachXBT отследил движение средств: украденные биткоины были выведены через девять транзакций на депозитные адреса биржи KuCoin. Ни команда Ledger, ни Apple на момент публикации не отреагировали на инцидент.