加密黑客攻击并不新鲜，但攻击者冒着巨大的风险却只获得微薄收益的情况并不常见。这种罕见的情况发生在周日。

攻击者利用了Hyperbridge跨链网关中的一个漏洞，该网关连接不同的区块链，在以太坊上铸造了10亿个Polkadot代币（价值11.9亿美元），并以大约237,000美元的以太币抛售。

这一攻击事件增加了2026年日益增加的桥接漏洞列表。上个月，Solana上的Drift Protocol遭受了2.7亿美元的攻击，而一次社会工程攻击，非代码漏洞，同样涉及到了被利用的基础设施。

周日的攻击针对的是桥接合同，而不是Polkadot的核心网络。Polkadot的本地代币DOT未受影响。漏洞存在于Hyperbridge的EthereumHost合同如何验证传入的跨链消息，在将它们传递给TokenGateway之前的方式。

桥接帮助将代币从一个区块链转移到另一个区块链，但仍然是跨链架构中最薄弱的环节，因为它们对目标链上的代币合同具有管理员级别的控制权限，这意味着单一的验证失败可能使攻击者能够铸造无限供应的代币。

攻击是如何展开的

链上的踪迹显示，攻击者通过dispatchIncoming提交了一条伪造消息，该消息被路由到TokenGateway.onAccept。

请求收据检查本应验证该消息与Polkadot的有效跨链状态承诺，但存储的是全零的承诺值，这表明该证明验证在此特定调用路径上要么缺失，要么可以绕过。网关将该消息处理为合法。

接受的消息执行了桥接的Polkadot代币合同上的changeAdmin，将管理员权限转移到攻击者的地址。获得管理员控制权后，攻击者在单笔交易中铸造了10亿个代币，并通过Odos Router V3将其路由到Uniswap V4 DOT-ETH池中，从多个看似略有不同价格的交易中提取了大约108.2 ETH。

流动性对攻击者不利

流动性/深度较差，或市场在稳定价格下吸收大订单的能力，通常是鲸鱼（大型投资者）的主要问题。但是在此情况下，这对攻击者不利，限制了其利润。

以太坊上的桥接DOT池流动性有限，这意味着10亿个代币超出了可用流动性，攻击者每个代币仅收到了几美分。

在一个更深的池或更高价值的桥接资产中，相同的漏洞将导致更大的损失。根据周一亚洲早晨的行情，DOT的交易价格略低于1.20美元。

CertiK指出了此次攻击，确认攻击矢量是Hyperbridge网关合同，攻击者从铸造和出售桥接代币中获利约237,000美元。

Hyperbridge没有公开对此次漏洞发表评论，也没有透露使用相同网关的其他桥接代币合同是否受到相同伪造消息攻击矢量的影响。