--- title: "假跨链证明漏洞影响了在以太坊上的 Polkadot 桥接 DOT,攻击者铸造了 10 亿代币并抛售市场" type: "News" locale: "zh-CN" url: "https://longbridge.com/zh-CN/news/282521207.md" description: "Polkadot 的 Hyperbridge 系统存在一个漏洞,允许攻击者在以太坊上铸造 10 亿个未经授权的 DOT 代币,导致价格大幅下跌,并促使交易所暂停交易。攻击者利用跨链消息验证中的一个缺陷,控制了桥接代币合约,并迅速将代币变现,约获得 23.7 万美元。虽然桥接的 DOT 代币受到影响,但核心的 Polkadot 网络并未受到影响。调查仍在进行中,交易限制已实施,以评估情况" datetime: "2026-04-13T09:51:03.000Z" locales: - [zh-CN](https://longbridge.com/zh-CN/news/282521207.md) - [en](https://longbridge.com/en/news/282521207.md) - [zh-HK](https://longbridge.com/zh-HK/news/282521207.md) --- # 假跨链证明漏洞影响了在以太坊上的 Polkadot 桥接 DOT,攻击者铸造了 10 亿代币并抛售市场 ## 跨链安全检查被绕过后,桥接的 DOT 被排空 与 Polkadot 相关的跨链桥存在一个漏洞,导致在以太坊上创建了 10 亿个未经授权的 DOT 代币,触发了价格急剧下跌,并迫使交易所暂停交易活动。 此次攻击瞄准了 Hyperbridge 网关系统,攻击者成功提交了一份伪造的加密证明,该证明被错误地接受为有效。 一旦伪造的信息通过验证,就触发了合约逻辑,将桥接代币合约的管理控制权交给了攻击者的钱包。 凭借这一访问权限,他们铸造了 10 亿个 DOT 代币,远远超过当时流通的桥接供应量,并迅速将其变现。 ## 一份伪造的证明如何控制了代币合约 事件源于 Hyperbridge 系统在验证跨链消息时的失败。 攻击者的伪造证明被视为合法,允许自动合约执行而无需人工干预。 受影响的功能改变了以太坊上桥接 DOT 合约的管理员权限,实际上使攻击者完全控制了铸造权限。 根据区块链安全公司 CertiK 的说法,这使得攻击者在发行膨胀的代币供应之前就掌控了局面。 > #CertiKInsight 🚨 > > 我们发现 @hyperbridge 网关合约遭到攻击。https://t.co/h27iDm1JGd > > 攻击者通过伪造信息改变了以太坊上 Polkadot 代币合约的管理员,并从铸造和出售 10 亿个代币中获利约 237,000 美元。 > > 请保持关注… pic.twitter.com/3t2n4uq5hy > > — CertiK Alert (@CertiKAlert) 2026 年 4 月 13 日 来自 Lookonchain 的链上分析师指出,攻击者随后将新铸造的代币一次性投入去中心化市场,几乎立即排空了流动性。 > Polkadot(@Polkadot) 已遭到攻击。🚨 > > 攻击者铸造了 10 亿个 $DOT,并在一次交易中全部抛售,获得 108.2 $ETH(约 237,000 美元)。https://t.co/4pStYrGb8ypic.twitter.com/wRplAWNnBg > > — Lookonchain (@lookonchain) 2026 年 4 月 13 日 ## 10 亿个代币在一次操作中被铸造和抛售 在获得控制权后,攻击者铸造了 10 亿个桥接的 DOT 代币,约为当时现有供应量的 2805 倍。 这些代币随后被抛售到 Uniswap,流动性池迅速被排空。 此次销售产生了约 108.2 ETH,价值约 237,000 美元,资金随后通过 Odos Router V3 被转回攻击者的钱包。 > 有人刚刚凭空铸造了 1,000,000,000 个桥接的 $DOT。 > > 这相当于原生 Polkadot 代币总供应量的 48%,是通过一个漏洞 conjured 出来的,然后在任何人反应过来之前以 108 $ETH(约 237,000 美元)抛售。 > > 事情的经过是这样的 > > \- 攻击者为他们的 EOA 提供了资金… pic.twitter.com/EK80KhqBNG > > — capie.eth (@scoutingcapie) 2026 年 4 月 13 日 随着人工供应涌入市场,桥接的 DOT 价格从约 1.22 美元暴跌至接近 1 美元,一些追踪器显示在峰值影响期间跌至几分之一美分。 ## 交易所反应,交易控制被触发 这一干扰促使交易平台立即采取预防措施。 Upbit 暂停了 DOT 的存取款,称由于持续的波动性和代币完整性问题,正在评估情况。 > 폴카닷 (DOT) 交易 유의 종목 지정 안내 > > 폴카닷 (DOT/KRW, DOT/BTC) 이 DAXA 회원사들에 의해 거래 유의 종목으로 지정되었습니다。 > > Polkadot(DOT/KRW, DOT/BTC) 已被数字资产交易协会 (DAXA) 标记为投资警示。 > > 🔗 了解更多: https://t.co/Aa6bK49wdh > > — Upbit Korea (@Official\_Upbit) 2026 年 4 月 13 日 其他平台也在监测以太坊上桥接的 DOT 代币的风险,随着调查的继续,预计临时限制将保持有效,直到进一步明确情况。 ## Hyperbridge 模型为何未能防止攻击 Hyperbridge 作为一个信任最小化的互操作性系统,严重依赖加密证明而非人工验证。 在这种情况下,该设计成为了攻击的切入点。 开发者将系统结构设计为经过验证的信息自动触发合约执行。 然而,攻击者设法生成了一份伪造的证明,系统在未检测到操控的情况下接受了该证明,从而实现了未经授权的管理更改。 Hyperbridge 已暂停其以太坊网关合约,正在审查该漏洞。 ## 尽管桥接代币崩溃,Polkadot 生态系统仍未受到影响 核心的 Polkadot 网络,包括其平行链和原生 DOT,未受到影响。 官方澄清,只有通过 Hyperbridge 桥接到以太坊的 DOT 代币受到影响,而其他桥接路线仍然完好。 > 我们意识到 @hyperbridge 的以太坊网关合约存在问题。 > > 该漏洞仅影响通过 Hyperbridge 桥接到以太坊的 DOT,不影响 Polkadot 生态系统中的 DOT,或通过其他桥接方式桥接的 DOT。 > > Polkadot、其平行链,以及… > > — Polkadot (@Polkadot) 2026 年 4 月 13 日 这一情况突显了特定互操作性层内的局部但重大故障,而不是更广泛的 Polkadot 生态系统本身,团队仍在继续调查该漏洞并评估潜在的修复方案。 ### 相关股票 - [TDOT.US](https://longbridge.com/zh-CN/quote/TDOT.US.md) - [ETHHKD.VAHK](https://longbridge.com/zh-CN/quote/ETHHKD.VAHK.md) - [ETHUSD.VAHK](https://longbridge.com/zh-CN/quote/ETHUSD.VAHK.md) ## 相关资讯与研究 - [ETH 研发团队集体跑路,华尔街疯狂砍仓 ETH](https://longbridge.com/zh-CN/news/286863776.md) - [Eightco Holdings 披露总持仓约 3.37 亿美元:含 OpenAI 股权等](https://longbridge.com/zh-CN/news/287244092.md) - [微策略董事长:资产代币化将助力投资者灵活挑选收益产品](https://longbridge.com/zh-CN/news/287252652.md) - [金管局撤销 Bsquared Technology 大型支付机构执照 | 联合早报网](https://longbridge.com/zh-CN/news/287037187.md) - [Datavault AI 签署 8 亿美元代币化合同,重申全年 2 亿美元营收目标](https://longbridge.com/zh-CN/news/286604375.md)