黑客铸造10亿美元DOT,因流动性严重不足只偷到23万美元
2026-04-13分类:波卡币(DOT) 阅读()
加密货币攻击事件层出不穷,但像这样「冒大险、赚小钱」的案例还真不多见。今(13)日稍早,有黑客利用Hyperbridge 跨链桥的漏洞,在以太坊上凭空铸造了10 亿枚Polkadot(DOT)代币,名义价值高达11.9 亿美元。然而当他试图将这些代币出售时,却因流动性严重不足,最终只换得约23.7 万美元的以太币。
需要厘清的是,黑客攻击的目标是「跨链桥智能合约」,因此Polkadot 主网上的原生DOT 代币并未受到波及。这次漏洞主因Hyperbridge 的EthereumHost 合约在将跨链讯息传递给TokenGateway 之前,未能正确验证讯息的真实性。
跨链桥一直是区块链架构中最脆弱的环节,因为它们握有代币合约的管理权限,一旦验证机制出现破口,黑客就能轻易取得无限铸造代币的权力。
攻击手法:伪造讯息、夺取管理权、无限铸币
链上追踪显示,黑客透过dispatchIncoming 提交了一则伪造的讯息,并成功将其导向TokenGateway.onAccept 。原本系统应该根据Polkadot 链上的状态核对这则讯息的真实性,但验证机制却将承诺值记录为「全零」,这意味着验证程序完全被绕过或根本不存在,于是系统误将这则假讯息视为合法指令。
被接受的讯息随即执行对桥接Polkadot 代币合约的changeAdmin 功能,将管理员权限转移给攻击者的地址。取得管理权后,攻击者在单笔交易中铸造了10 亿枚DOT 代币,并透过Odos Router V3 将这些代币倒入Uniswap V4 的DOT-ETH 交易池,以略微不同的价格进行多次兑换后,最终提取约108.2 枚以太币。
「流动性不足」反成防护罩
在金融市场中,「流动性不足」通常是巨鲸大户最头痛的问题,但讽刺的是,这次流动性不足反而成了无形的防护罩,大幅限缩了黑客的获利空间。
由于以太坊上的DOT 流动性深度极为有限,根本无法消化这10 亿枚凭空多出来的代币,当黑客急着抛售套现时,严重滑价导致每枚代币的实际价格连 1 美分都不到。
若是在一个流动性更深、或价值更高的桥接资产上,同样的漏洞恐怕将造成数十倍的损失。截至写稿时,DOT 交易价格约为1.17 美元,过去24 小时下跌5% 。
这起事件再次说明:即便黑客掌握「无限铸币权」,最终能否成功套利,仍取决于市场流动性与交易深度。知名区块链资安机构CertiK 随后证实了这起攻击事件,并表示黑客藉由铸造与抛售桥接代币,获利约23.7 万美元。
截至目前为止,Hyperbridge 官方尚未针对黑客事件发表公开评论。
Tags:
