Újabb biztonsági rés tátong a blokklánc-hidak világában: a Hyperbridge protokollt kihasználva egy támadó 1 milliárd darab virtuális Polkadot (DOT) tokent hozott létre a semmiből. Bár a zsákmányolt összeg végül „csak” 237 000 dollár lett a likviditási korlátok miatt, az eset rávilágít az interoperabilitási megoldások törékenységére.
A cross-chain technológiák ígérete a láncok közötti akadálymentes átjárhatóság, ám a gyakorlatban ezek a hidak jelentik a kriptoszféra leggyengébb láncszemeit. A legutóbbi incidens során a Polkadot-alapú Hyperbridge esett áldozatul egy olyan támadásnak, amely során a hackerek a protokoll hitelesítési mechanizmusát játszották ki, közvetlen veszélybe sodorva az Ethereum hálózaton lévő áthidalt eszközöket.
Merkle-fa trükkel jött a feketeleves
A CertiK elemzése szerint a támadó egy meghamisított üzenettel átvette az adminisztrátori jogokat a Polkadot Ethereum-alapú okosszerződése felett. A technikai hátteret vizsgálva a Blocksec Falcon szakértői rámutattak, hogy a hiba valószínűleg egy úgynevezett Merkle Mountain Range (MMR) bizonyítási sebezhetőség volt. A támadó lényegében egy korábbi érvényes kérést tudott újra felhasználni (replay attack), mert a rendszer nem ellenőrizte megfelelően a bizonyíték és a konkrét kérés közötti kapcsolatot. Szerencse a szerencsétlenségben, hogy az Ethereum-oldali likviditási medence véges volt, így a hacker „mindössze” 108,2 ETH-t (kb. 237 000 dollár) tudott ténylegesen kivonni.
A Hyperbridge csapata azonnal leállította a protokoll működését, miután kiderült, hogy egy rosszindulatú bizonyíték képes volt kijátszani a Merkle-fa verifikációs rendszert.
Nem csak a Polkadot-ökoszisztéma érintett
A hétvége nem múlt el más incidensek nélkül sem. A Hyperbridge mellett a SubQuery Network is pórul járt, ahol egy kétéves, hozzáférés-kezelési hiba miatt 130 000 dollárnyi staking jutalmat térítettek el. Érdekesség, hogy bár a 2026-os év első negyedévében a DeFi szektort ért veszteségek jelentősen csökkentek a tavalyi évhez képest, a kockázatok továbbra is jelen vannak.
- 237 000 dollár: Ennyit tudott ténylegesen tisztára mosni a Hyperbridge hackere.
- 1 milliárd DOT: Ennyi hamis tokent mintelt a támadó egyetlen tranzakcióval.
- 168 millió dollár: A DeFi szektor teljes vesztesége hackelésekből 2026 első negyedévében.
Mit jelent ez a befektetőknek?
A magyar befektetők számára a legfontosabb tanulság, hogy a „native” DOT tokenek biztonságban maradtak; a hiba kizárólag az Ethereumra átvitt, hidalt verziót érintette. Amikor hidakat használunk, nem csak az adott kriptovaluta, hanem a híd technológiai biztonságának kockázatát is futjuk. A 2026-os trendek azt mutatják, hogy a biztonsági auditok javulnak, de a régi kódok és a komplex matematikai bizonyítások (mint az MMR) még mindig rejthetnek aknákat. Mindig tartsuk szem előtt: a híd csak annyira erős, amennyire a leggyengébb kódja!
Forrás: Cointelegraph.com News