- Ataque gerou 1 bilhão de DOT “bridged” em uma única transação.
- Prejuízo limitado a US$ 237 mil por baixa liquidez.
- Falha envolveu mensagem forjada e vulnerabilidade em prova criptográfica.
O protocolo de interoperabilidade Hyperbridge sofreu um ataque que permitiu a criação de 1 bilhão de tokens de Polkadot na rede Ethereum.
O invasor conseguiu converter parte dos ativos e embolsou cerca de US$ 237 mil, reacendendo o alerta sobre falhas em bridges.
Falha explorada permitiu controle do contrato
O ataque ocorreu após o invasor enviar uma mensagem forjada ao sistema, com isso, ele alterou o administrador do contrato do token na Ethereum.
Segundo a CertiK, o hacker:
“passou por meio de uma mensagem forjada para alterar o administrador”
Ou seja, burlou a verificação e assumiu controle crítico do contrato.
Além disso, o problema pode estar ligado a uma falha no verificador de provas baseado em Merkle Tree. O protocolo utiliza esse mecanismo para validar dados entre redes.
Entretanto, análises iniciais indicam uma vulnerabilidade mais específica, a Blocksec Falcon apontou possível falha em provas MMR (Merkle Mountain Range).
Por isso, o sistema teria aceitado uma prova reutilizada, essa brecha ocorre quando não há ligação direta entre prova e requisição.
Apesar da gravidade, o impacto foi limitado, a liquidez baixa do pool de DOT bridged restringiu o saque a 108,2 ETH.
Hyperbridge pausa operações e reacende debate sobre segurança
Após o ataque, a Hyperbridge interrompeu suas operações, a equipe trabalha em uma atualização emergencial para corrigir a falha.
Além disso, o incidente contrasta com o discurso do projeto, a plataforma prometia “segurança de nível full node” para interoperabilidade.
Enquanto isso, a Polkadot confirmou que o problema não afetou o token nativo. O ecossistema principal permaneceu seguro.
Mesmo assim, o preço do DOT caiu brevemente, o ativo tocou US$ 1,16 antes de recuperar para acima de US$ 1,19.
O caso reforça um padrão preocupante, bridges continuam entre os alvos preferidos de hackers.
No mesmo fim de semana, a SubQuery Network perdeu cerca de US$ 130 mil, a falha envolveu controle inadequado de acesso.
Ainda assim, os dados mostram melhora no cenário geral. No primeiro trimestre de 2026, perdas em DeFi somaram US$ 168 milhões. No ano anterior, o valor passou de US$ 1,5 bilhão.
Portanto, embora os números tenham caído, os riscos persistem. Especialmente em estruturas complexas como bridges.
No fim, o episódio reforça um ponto central, segurança em interoperabilidade ainda não atingiu maturidade plena — e continua sendo um dos maiores desafios do setor.
