Hyperbridge 跨鏈橋遭攻擊，攻擊者鑄造 10 億枚 DOT 代幣砸盤

安全機構 CertiK 於 4 月 13 日偵測到 Hyperbridge 跨鏈閘道合約遭受漏洞攻擊。攻擊者利用偽造訊息繞過合約驗證，成功篡改 Polkadot 橋接版 DOT 代幣合約的管理員權限，隨即非法鑄造 10 億枚橋接 DOT 並於單筆交易中全數拋售，最終獲利僅 108.2 ETH，折合約 23.7 萬美元。

攻擊機制：偽造跨鏈訊息如何取得管理員控制權

（來源：CertiK）

Hyperbridge 是一個部署於以太坊的跨鏈閘道協議，允許 Polkadot 等網路的資產以橋接代幣形式在以太坊上流通。根據 CertiK 的監測，攻擊者識別出合約中的訊息驗證漏洞，透過構造偽造的跨鏈訊息繞過應有的合法性核查，成功奪取橋接版 DOT 代幣合約的管理員控制權。

在取得管理員權限後，攻擊者執行非授權鑄幣操作，憑空製造出 10 億枚橋接 DOT，隨即在單筆交易中全數拋售。整個流程——偽造訊息、篡改管理員、鑄幣、清倉——均在鏈上完成，鏈上追蹤機構 Lookonchain 確認這筆交易最終僅套現 108.2 ETH。

為何 10 億枚代幣僅換來 23.7 萬美元：流動性陷阱的殘酷數學

這場攻擊中最具諷刺意義的細節，是 10 億枚代幣與 23.7 萬美元之間的巨大落差。Lookonchain 數據顯示，攻擊者拋售前橋接版 DOT 報價約為 1.22 美元，理論最大套利空間逾 12 億美元；然而 10 億枚代幣的巨量拋壓瞬間超過鏈上可吸收的流動性深度，幣價從 1.22 美元砸至接近於零，絕大多數增發代幣形同廢紙。

這是典型的「流動性陷阱」：攻擊者可以製造代幣，但無法製造買家。

本次攻擊關鍵數據摘要

受攻擊合約：以太坊鏈上的 Hyperbridge 跨鏈閘道合約

攻擊手法：偽造跨鏈訊息，篡改橋接 DOT 代幣合約管理員權限

非法鑄造量：10 億枚以太坊橋接版 DOT

拋售前幣價：約 1.22 美元；拋售後：接近於零

攻擊者實際獲利：108.2 ETH（約 23.7 萬美元）

理論最高套利：若流動性充足，理論上可超過 12 億美元

受影響範圍：以太坊橋接版 DOT，Polkadot 原生鏈不受直接影響

重要區分：橋接資產與 Polkadot 原生 DOT 的安全邊界

本次攻擊的目標是部署於以太坊的橋接版 DOT 代幣合約，Polkadot 原生主鏈及其原生 DOT 代幣的共識機制在本次事件中均未受到直接攻擊或影響。

跨鏈橋長期以來是 DeFi 生態中安全風險最集中的環節之一。橋接資產的智能合約通常獨立部署，其安全審計標準與監控機制可能與原生鏈存在落差，使得攻擊者可在不觸碰主鏈的情況下，單獨利用橋接合約漏洞製造破壞。持有橋接版資產的用戶需明確認識到，其所承擔的風險不僅來自底層主鏈，也包括橋接基礎設施本身的合約安全性。

常見問題

什麼是 Hyperbridge？它與 Polkadot 是什麼關係？

Hyperbridge 是部署於以太坊的跨鏈閘道協議，允許 Polkadot 等網路的資產以橋接代幣形式在以太坊上流通，是連接 Polkadot 與以太坊生態的基礎設施之一，但在技術架構上獨立於 Polkadot 原生主鏈運作。

攻擊者鑄造了 10 億枚 DOT，為何最終只賺到 23.7 萬美元？

攻擊者拋售 10 億枚橋接 DOT 時，以太坊鏈上的流動性深度遠不足以承接如此巨量的賣單。拋售壓力將代幣價格從 1.22 美元瞬間砸至接近於零，導致絕大多數鑄造代幣幾乎無法變現，最終只能在市場崩潰前搶先出售極小比例，套現約 108.2 ETH。

此次攻擊是否影響了 Polkadot 原生鏈上的 DOT 持有者？

根據 CertiK 的分析，攻擊對象為以太坊上的橋接版 DOT 合約，Polkadot 原生主鏈與原生 DOT 代幣未受到直接影響。持有 Polkadot 主鏈 DOT 的投資者所面臨的是間接的市場情緒衝擊，而非底層資產的直接安全風險。