Peretas mencuri $237.000 dalam eksploitasi Bridged-Polkadot setelah mencetak 1 miliar DOT dan mengonversinya menjadi 108 ETH

Peretas mengeksploitasi kerentanan dalam kontrak gateway Ethereum jembatan lintas-rantai Hyperbridge hari ini, mencetak 1 miliar token Polkadot (DOT) terbungkus tanpa izin dan menukarnya dengan sekitar 108,2 ETH, senilai setidaknya $237.000 dalam satu transaksi.
Serangan yang terjadi sekitar pukul 3:55 UTC ini hanya menargetkan aset DOT yang dijembatani di Ethereum dan membiarkan blockchain asli Polkadot, parachain, staking, dan tata kelola tidak tersentuh. Hyperbridge, protokol interoperabilitas berbasis Polkadot yang menghubungkan aset lintas rantai menggunakan Interoperability State Machine Protocol (ISMP), mengkonfirmasi pelanggaran tersebut dalam postingan di X sesaat setelah terdeteksi. "Eksploitasi mempengaruhi salah satu kontrak Ethereum kami," kata tim tersebut. "Kami telah menghentikan semua penjembatan dan menyarankan mitra untuk menghentikan transaksi terkait sementara tim menangani masalah ini."

Akun resmi Polkadot mengulangi jaminan tersebut beberapa jam kemudian. "Kami menyadari masalah yang mempengaruhi kontrak gateway Ethereum @hyperbridge," postingan tersebut.

"Eksploitasi hanya mempengaruhi DOT di Ethereum yang dijembatani melalui Hyperbridge dan tidak mempengaruhi DOT di ekosistem Polkadot atau DOT yang dijembatani melalui jembatan lain. Polkadot, parachain-nya, dan DOT asli tetap aman dan tidak terpengaruh."

Mekanisme Eksploitasi Bridged-Polkadot

Diverifikasi oleh analis on-chain dan perusahaan keamanan, termasuk CertiK, eksploitasi dilakukan di blok 24.868.295 melalui hash transaksi 0x240a…1109. Dompet penyerang (0xC513…F8E7), alamat berusia 33 hari, menerapkan subkontrak berbahaya dan mengirimkan bukti konsensus Polkadot palsu melalui kontrak HandlerV1.

Peneliti keamanan melacak akar penyebab ke tiga kelemahan kritis. Pertama, periode tantangan jembatan diatur ke nol, menghilangkan jendela sengketa apa pun dan memungkinkan komitmen status palsu diterima secara instan. Kedua, ada validasi yang tidak memadai dalam fungsi verifikasi bukti kontrak HandlerV1. Akhirnya, kontrak klien konsensus (0xA0Ad…669a) tidak memiliki verifikasi kode sumber publik. Mempersiapkan selama berbulan-bulan, penyerang berhasil mendanai dompet melalui alat privasi, termasuk pool terlindungi zk Railgun dan Synapse Bridge, melakukan penerapan uji coba pada keadaan langsung sebelum serangan.

Setelah mengendalikan, penyerang mengubah admin kontrak token DOT yang dijembatani (0x8d01…90b8) dan mencetak penuh 1 miliar token. Pasokan palsu kemudian dialihkan melalui router pertukaran terdesentralisasi, termasuk Uniswap V4, menguras pool likuiditas yang tersedia. Pertukaran menghasilkan 108,2 ETH sebelum bot MEV mereplikasi bagian dari eksploitasi pada aset terbungkus Hyperbridge lainnya seperti ARGN, MANTA, dan CERE. Total kerugian yang direalisasikan di seluruh insiden diperkirakan $250.000 ketika termasuk ekstraksi sekunder, meskipun hasil utama tetap terbatas oleh likuiditas yang tipis.

Baca juga: Trump-linked World Liberty Financial (WLFI) menggugat Justin Sun dalam sengketa DeFi $75 juta
Insiden tersebut memicu reaksi pasar langsung. Harga DOT yang dijembatani di pool yang terpengaruh anjlok dari sekitar $1,22 menjadi mendekati nol. Bursa Korea Selatan Upbit dan Bithumb menghentikan deposit dan penarikan DOT sebagai tindakan pencegahan. Posisi leverage mengalami lebih dari $728.000 likuidasi, dan likuiditas DeFi yang lebih luas terkait dengan aset terbungkus Hyperbridge mengalami gangguan sementara, menghapus sekitar $20 juta nilai nosional dari pool.
Hyperbridge mendukung beberapa token ERC-6160 dari parachain Polkadot, menjadikan gateway sebagai titik kegagalan bersama untuk beberapa aset yang dijembatani. Kontrak EthereumHost kemudian sepenuhnya dibekukan untuk mencegah kerusakan lebih lanjut. Pada saat pengajuan laporan ini, dana penyerang diamati bergerak melalui penarikan Railgun tambahan dalam kenaikan 15 ETH menuju dompet keluar baru, dengan tidak ada bridge-out besar yang terdeteksi.

Ini menandai yang terbaru dalam serangkaian eksploitasi terkait jembatan yang telah menghantui keuangan terdesentralisasi, di mana miliaran telah hilang secara historis karena kesenjangan validasi bukti dan kesalahan konfigurasi. Hyperbridge telah memposisikan dirinya sebagai alternatif aman yang diverifikasi secara kriptografis dengan memanfaatkan mekanisme konsensus GRANDPA dan BEEFY Polkadot. Serangan ini menyoroti bagaimana bahkan desain canggih dapat gagal ketika parameter kunci seperti periode tantangan diminimalkan atau ketika kontrak verifikasi upstream tidak memiliki audit kode sumber publik.
Tidak ada laporan forensik lengkap dari Hyperbridge atau Polkadot yang telah dirilis karena investigasi berlanjut. Perusahaan keamanan blockchain CertiK dan analis independen terus memantau pergerakan penyerang. Insiden ini berfungsi sebagai pengingat risiko persisten dalam infrastruktur lintas-rantai, bahkan untuk protokol yang dibangun di jaringan mapan seperti Polkadot.