Les piratages cryptographiques ne sont pas nouveaux, mais les cas où les attaquants prennent de gros risques et repartent avec des cacahuètes ne sont pas courants. Ce scénario rare s’est produit dimanche.
Un attaquant a exploité une vulnérabilité dans la passerelle inter-chaînes d’Hyperbridge qui connecte différentes blockchains, frappant 1 milliard de jetons Polkadot (1,19 milliard de dollars) sur Ethereum et les échangeant contre environ 237 000 dollars d’éther.
L’exploit s’ajoute à une liste croissante de vulnérabilités de pont en 2026. Le mois dernier, un protocole Drift de 270 millions de dollars a été drainé sur Solana, tandis qu’une attaque d’ingénierie sociale, plutôt qu’un exploit de code, impliquait également une infrastructure compromise.
L’exploit de dimanche visait le contrat de pont, et non le réseau principal de Polkadot. Le jeton natif DOT de Polkadot n’a pas été affecté. La vulnérabilité réside dans la façon dont le contrat EthereumHost d’Hyperbridge valide les messages inter-chaînes entrants avant de les transmettre à TokenGateway.
Les ponts, qui aident à déplacer les pièces d’une blockchain à une autre, restent le maillon le plus faible de l’architecture inter-chaînes car ils détiennent un contrôle au niveau administrateur sur les contrats de jetons sur les chaînes de destination, ce qui signifie qu’un seul échec de validation peut donner à un attaquant la possibilité de créer un approvisionnement illimité.
Voici comment l’attaque s’est déroulée
Les traces en chaîne montrent que l’attaquant a soumis un faux message via dispatchIncoming, qui a été acheminé vers TokenGateway.onAccept.
La vérification des reçus de demande, qui aurait dû vérifier le message par rapport à un engagement d’État inter-chaînes valide de Polkadot, a stocké une valeur d’engagement entièrement nulle, suggérant que la validation de la preuve était soit absente, soit contournable pour ce chemin d’appel spécifique. La passerelle a traité le message comme étant légitime.
Le message accepté a exécuté changeAdmin sur le contrat de jeton Polkadot ponté, transférant les droits d’administrateur à l’adresse de l’attaquant. Avec le contrôle de l’administrateur, l’attaquant a créé 1 milliard de jetons en une seule transaction et les a acheminés via Odos Router V3 vers un pool Uniswap V4 DOT-ETH, extrayant environ 108,2 ETH sur ce qui semble être plusieurs swaps à des prix légèrement différents.
La liquidité a joué contre l’attaquant
La faible liquidité/profondeur, ou la capacité du marché à absorber des commandes importantes à des prix stables, constitue généralement un problème majeur pour les baleines. Mais dans ce cas-ci, cela a joué contre l’attaquant, limitant ainsi ses bénéfices.
Le pool DOT ponté sur Ethereum avait une profondeur limitée, ce qui signifie qu’un milliard de jetons a dépassé la liquidité disponible et que l’attaquant n’a reçu qu’une fraction de centime par jeton.
Sur un pool plus profond ou sur un actif ponté de plus grande valeur, la même vulnérabilité aurait entraîné des pertes beaucoup plus importantes. Le DOT se négocie à un peu moins de 1,20 $ lundi matin en Asie.
CertiK a signalé l’exploit, confirmant que le vecteur d’attaque était le contrat de passerelle Hyperbridge et que l’attaquant a profité d’environ 237 000 $ en frappant et en vendant les jetons pontés.
Hyperbridge n’a pas commenté publiquement l’exploit ni révélé si d’autres contrats de jetons pontés utilisant la même passerelle sont vulnérables au même vecteur d’attaque de faux messages.