Hyperbridge 跨链桥遭攻击，攻击者铸造 10 亿枚 DOT 代币砸盘

安全机构 CertiK 于 4 月 13 日检测到 Hyperbridge 跨链网关合约遭受漏洞攻击。攻击者利用伪造信息绕过合约验证，成功篡改 Polkadot 桥接版 DOT 代币合约的管理员权限，随即非法铸造 10 亿枚桥接 DOT 并于单笔交易中全部抛售，最终获利仅 108.2 ETH，折合约 23.7 万美元。

攻击机制：伪造跨链信息如何取得管理员控制权

（来源：CertiK）

Hyperbridge 是一个部署于以太坊的跨链网关协议，允许 Polkadot 等网络的资产以桥接代币形式在以太坊上流通。根据 CertiK 的监测，攻击者识别出合约中的信息验证漏洞，通过构造伪造的跨链信息绕过应有的合法性核查，成功夺取桥接版 DOT 代币合约的管理员控制权。

在取得管理员权限后，攻击者执行未授权铸币操作，凭空制造出 10 亿枚桥接 DOT，并随即在单笔交易中全部抛售。整个流程——伪造信息、篡改管理员、铸币、清仓——均在链上完成，链上追踪机构 Lookonchain 确认这笔交易最终仅套现 108.2 ETH。

为何 10 亿枚代币仅换来 23.7 万美元：流动性陷阱的残酷数学

这场攻击中最具讽刺意义的细节，是 10 亿枚代币与 23.7 万美元之间的巨大落差。Lookonchain 数据显示，攻击者抛售前桥接版 DOT 报价约为 1.22 美元，理论最大套利空间逾 12 亿美元；然而 10 亿枚代币的巨量抛压瞬间超过链上可吸收的流动性深度，币价从 1.22 美元砸至接近于零，绝大多数增发代币形同废纸。

这是典型的“流动性陷阱”：攻击者可以制造代币，但无法制造买家。

本次攻击关键数据摘要

受攻击合约：以太坊链上的 Hyperbridge 跨链网关合约

攻击手法：伪造跨链信息，篡改桥接 DOT 代币合约管理员权限

非法铸造量：10 亿枚以太坊桥接版 DOT

抛售前币价：约 1.22 美元；抛售后：接近于零

攻击者实际获利：108.2 ETH（约 23.7 万美元）

理论最高套利：若流动性充足，理论上可超过 12 亿美元

受影响范围：以太坊桥接版 DOT，Polkadot 原生链不受直接影响

重要区分：桥接资产与 Polkadot 原生 DOT 的安全边界

本次攻击的目标是部署于以太坊的桥接版 DOT 代币合约，Polkadot 原生主链及其原生 DOT 代币的共识机制在本次事件中均未受到直接攻击或影响。

跨链桥长期以来是 DeFi 生态中安全风险最集中的环节之一。桥接资产的智能合约通常独立部署，其安全审计标准与监控机制可能与原生链存在落差，使得攻击者可在不触碰主链的情况下，单独利用桥接合约漏洞制造破坏。持有桥接版资产的用户需明确认识到，其所承担的风险不仅来自底层主链，也包括桥接基础设施本身的合约安全性。

常见问题

什么是 Hyperbridge？它与 Polkadot 是什么关系？

Hyperbridge 是部署于以太坊的跨链网关协议，允许 Polkadot 等网络的资产以桥接代币形式在以太坊上流通，是连接 Polkadot 与以太坊生态的基础设施之一，但在技术架构上独立于 Polkadot 原生主链的运行。

攻击者铸造了 10 亿枚 DOT，为何最终只赚到 23.7 万美元？

攻击者抛售 10 亿枚桥接 DOT 时，以太坊链上的流动性深度远不足以承接如此巨量的卖单。抛售压力将代币价格从 1.22 美元瞬间砸至接近于零，导致绝大多数铸造代币几乎无法变现，最终只能在市场崩溃前抢先出售极小比例，套现约 108.2 ETH。

此次攻击是否影响了 Polkadot 原生链上的 DOT 持有者？

根据 CertiK 的分析，攻击对象为以太坊上的桥接版 DOT 合约，Polkadot 原生主链与原生 DOT 代币未受到直接影响。持有 Polkadot 主链 DOT 的投资者所面临的是间接的市场情绪冲击，而非底层资产的直接安全风险。