Hyperbridge桥接漏洞致巨额伪造代币仅变现二十余万美元

2026年4月13日，一名匿名黑客利用Hyperbridge协议在以太坊网络中成功伪造了总计10亿枚桥接版Polkadot代币。尽管名义价值高达11亿美元，但受制于目标池流动性严重不足，实际提现金额仅为约23.7万美元。

攻击路径与技术细节披露

此次攻击聚焦于Hyperbridge在以太坊上的代币映射机制，通过零地址向钱包0x31a165a956842ab783098641db25c7a9067ca9ab发起大规模代币铸造操作。相关交易哈希为0x240aeb9a，执行时间精确至世界标准时间03:55:23。

链上数据表明，该操作在以太坊侧的桥接DOT代币路径中生成了10亿枚伪造资产。然而，由于兑换池深度极低，攻击者最终仅将其中部分转换为108.206143512481490001 ETH，折合当时市价约23.7万美元。

涉事合约包括以太坊上公开的HandlerV1（地址0x6C84eDd2A018b1fe2Fc93a56066B5C60dA4E6D64）与TokenGateway（地址0xFd413e3AFe560182C4471F4d143A96d3e259B6dE），而桥接代币本身部署于合约0x8d010bf9c26881788b4e6bf5fd1bdc358c8f90b8。

流动性匮乏引发价格崩盘与收益极限

本次攻击中，伪造代币面值与实际变现额之间的巨大落差，根本原因在于桥接资产池缺乏足够流动支撑。以太坊上的桥接DOT属于封装型表征代币，并非原生Polkadot资产，其价值依赖于外部市场流动性。

当攻击者向浅池抛售超10亿枚代币时，价格迅速滑落至接近零。在此过程中，系统仅能处理相当于约108 ETH的卖出压力，即完成有限兑换。此类现象在跨链攻击中屡见不鲜：大量伪造代币无法创造真实财富，仅能耗尽配对池中的真实资产储备。

据非官方分析推测，漏洞根源可能源于未绑定证明与请求的MMR证明重放缺陷。截至发稿，Hyperbridge尚未发布正式事件说明文件。

原生资产安然无恙但市场信心受冲击

本次事件仅波及通过Hyperbridge跨链至以太坊的桥接版本DOT，Polkadot主网及其生态并未受到直接损害。然而，市场情绪显著下滑，DOT现货价格一度跌至1.18美元，24小时内跌幅达4.4%。当前市值约为19.7亿美元，24小时交易量接近2.716亿美元。

加密恐惧与贪婪指数已降至12，处于“极度恐惧”区间。有未经证实消息指出，韩国多家交易所已临时关闭DOT的充提服务以规避风险，相关公告尚未获得独立验证。

跨链基础设施安全再度成为焦点

历史数据显示，跨链桥一直是加密领域最易被攻击的薄弱环节之一。本次事件再次凸显：即使原生链具备高度安全性，其在以太坊侧的桥接合约仍可能构成单点失效风险。

关键信任节点位于Hyperbridge的HandlerV1与TokenGateway合约及其所控制的桥接代币映射关系。这揭示出跨链资产与原生资产之间存在本质差异——持有桥接代币的用户面临的是合约逻辑与流动性双重风险，而原生链持有者则不受影响。

随着机构投资者持续进场，未来对桥接协议的安全审计强度、封装代币池的深度管理以及透明度要求或将显著提升。Hyperbridge是否公布根本原因分析并修复受损路径，将成为后续观察重点。