Polkadot-Hack-Folgen: Hyperbridge-Mint löst 1 Milliarde gebrückte DOT auf Ethereum aus

Sicherheitsfragen kamen auf den Kryptomärkten wieder auf, nachdem der jüngste Polkadot-Hack-Vorfall am Ethereum-Gateway von Hyperbridge eine offizielle Stellungnahme des Netzwerk-Teams veranlasste.

Polkadot klärt Auswirkungen des Hyperbridge-Exploits auf

Am 13.04.2026 veröffentlichte Polkadot eine öffentliche Erklärung zu einem Sicherheitsvorfall, der den von Hyperbridge genutzten Ethereum-Gateway-Vertrag betraf. Das Projekt bestätigte, dass nur gebrückte DOT auf Ethereum kompromittiert wurden, während die Kernvermögenswerte des Netzwerks intakt blieben.

Das Team erklärte: „Wir sind uns eines Problems bewusst, das den Ethereum-Gateway-Vertrag von Hyperbridge betrifft." Das Update betonte jedoch, dass das Problem begrenzten Umfang hatte und sich nicht auf das gesamte Polkadot-Netzwerk oder seine Relay-Chain erstreckte.

Darüber hinaus betonte Polkadot: „Der Exploit betrifft nur DOT auf Ethereum, die über Hyperbridge gebrückt werden, und betrifft nicht DOT im Polkadot-Ökosystem oder DOT, die über andere Brücken gebrückt werden." Diese Klarstellung sollte eine klare Grenze zwischen betroffenen Token und nativen Assets ziehen.

Somit hatte das Ereignis keine Auswirkungen auf native DOT auf der Relay-Chain, Parachains oder andere mit Polkadot verbundene Ökosysteme. Die Marktstimmung wurde jedoch negativ. Der DOT-Preis fiel zum Redaktionszeitpunkt um 4,77% auf $1,16, was einen deutlichen DOT-Preisrückgang im Zusammenhang mit dem Sicherheitsvorfall unterstreicht.

Hyperbridge pausiert Betrieb und gibt Verlustangaben bekannt

Als Vorsichtsmaßnahme wurden die mit dem kompromittierten Vertrag verbundenen Bridge-Dienste sofort ausgesetzt. Polkadot stellte fest, dass „Hyperbridge pausiert wurde, während das Problem untersucht wird", was auf einen dringenden Schritt zur Eindämmung potenzieller weiterer Schäden hinweist.

Darüber hinaus veröffentlichte Hyperbridge einen detaillierten Vorfallbericht, der den Exploit und seine Folgen erläutert. Es hieß: „Am 13.04.2026 wurde eine Schwachstelle im Token-Gateway von Hyperbridge ausgenutzt, was zu Verlusten von etwa $237.000 auf Ethereum führte." Diese Zahl stellt den bisher identifizierten direkten finanziellen Schaden dar.

Die Plattform betonte, dass viele Cross-Chain-Systeme heute auf Validator-Sets oder Multisignatur-Genehmigungen angewiesen sind. Solche Designs führen jedoch strukturelle Vertrauensannahmen ein, die missbraucht werden können. Hyperbridge stellte fest, dass diese Modelle branchenweit zu mehr als $2 Milliarden kumulativen Bridge-Verlusten beigetragen haben.

Das Projekt argumentierte jedoch, dass seine eigene Architektur darauf ausgelegt war, diese Cross-Chain Sicherheitsrisiken zu verringern, indem kryptografische Beweise der zugrunde liegenden Blockchain bevorzugt werden, anstatt sich auf zentralisierte Gruppen menschlicher oder institutioneller Genehmiger zu verlassen.

Der Merkle-Mountain-Range-Verifizierungsfehler im Detail

Hyperbridge erklärte, dass sein System versucht, Bedrohungen durch Bridge-Token-Fälschung zu reduzieren, indem die Sicherheit in der kryptografischen Verifizierung verankert wird. Der Bericht macht jedoch deutlich, dass der Exploit nicht aus einem konzeptionellen Versagen seines kryptografischen Ansatzes resultierte.

Stattdessen stellte die Untersuchung fest, dass die Grundursache ein Beweisfälschungsweg in der Implementierung von Hyperbridge war. Insbesondere wurde ein Fehler in der Solidity-basierten Merkle-Mountain-Range-Beweisverifizierungslogik entdeckt, die vom Ethereum-Gateway-Vertrag verwendet wird.

Laut dem Bericht entstand dieser Merkle-Mountain-Range-Fehler in der Merkle-Baum-Verifizierer-Implementierung, die versuchte, die Upstream-Polkadot-Logik widerzuspiegeln. Der Fehler führte jedoch dazu, dass das System bestimmte ungültige Beweise als gültig behandelte, wodurch die beabsichtigten Sicherheitsgarantien gebrochen wurden.

Dieser Verifizierungsfehler ermöglichte es einer bösartigen Nachricht, Sicherheitsprüfungen zu umgehen. Infolgedessen erlangte der Angreifer effektiv Kontrolle auf Administratorebene über den gebrückten DOT-Token-Vertrag auf Ethereum, was die Tür zu umfangreicher Token-Erstellung öffnete.

Wie die gefälschten 1 Milliarde gebrückten DOT erstellt und verkauft wurden

Sobald der Angreifer diesen erhöhten Zugriff hatte, fuhr er mit dem fort, was Ermittler als gebrücktes DOT-Minting in massivem Umfang beschreiben. Der Ausnutzer prägte 1 Milliarde gebrückte DOT-Token und nutzte den kompromittierten Vertrag, um normale Ausgabelimits zu umgehen.

Dieses neu geschaffene Angebot stellte das legitime zirkulierende gebrückte DOT auf Ethereum in den Schatten, das bei etwa 356.000 Token lag. In numerischen Begriffen übertraf die gefälschte Ausgabe das reale zirkulierende Angebot um mehr als das 2.800-fache, was die Schwere der Ethereum-Bridge-Schwachstelle verdeutlicht.

Der Angreifer hielt die Position jedoch nicht lange. Der Bericht stellt fest, dass die gefälschten Token schnell in dezentrale Börsen und ähnliche Handelsplätze verschoben wurden. Dort wurden sie auf dem Markt verkauft, wodurch der Exploit in liquide Mittel umgewandelt wurde.

In seiner Kommunikation stellte Polkadot das Ereignis als schwerwiegendes Versagen der Infrastruktur Dritter dar und nicht als Versagen des Kernnetzwerks selbst. Dennoch hat der Polkadot-Hack die Debatte über die Fragilität von Bridge-Architekturen und ihre Rolle bei der Cross-Chain-Interoperabilität neu entfacht.

Laufende Untersuchung und nächste Schritte

Darüber hinaus bestätigte Hyperbridge, dass es eng mit seinen Sicherheitspartnern zusammenarbeitet, um die Bewegung der gestohlenen Mittel On-Chain zu verfolgen. Das Team evaluiert auch potenzielle Wiederherstellungswege und Minderungsstrategien, um den finanziellen Schaden zu beheben.

Hyperbridge verpflichtete sich, weitere Details zum Hyperbridge-Exploit zu teilen, während die Untersuchung fortgesetzt wird und neue Beweise aufgedeckt werden. Es wurde jedoch kein konkreter Zeitplan für die vollständige Wiedereröffnung der Bridge-Dienste oder für einen Restitutionsprozess bereitgestellt.

Vorerst bleibt das Bridging über Hyperbridge pausiert, während technische Teams die Merkle-Proof-Implementierung, Vertragslogik und Überwachungssysteme überprüfen. Diese Pause zielt darauf ab, sicherzustellen, dass ähnliche Beweisfälschungsvektoren nicht erneut über denselben Weg ausgenutzt werden können.

Zusammenfassend lässt sich sagen, dass der Vorfall eine kritische Schwäche in einer Ethereum-zugewandten Komponente des Polkadot-Ökosystems aufdeckte, was zu einem Verlust von $237.000 und einem kurzfristigen Schlag für das Marktvertrauen führte. Native DOT, Parachains und die Relay-Chain-Infrastruktur wurden jedoch nicht verletzt, was unterstreicht, dass das Kernsicherheitsmodell des Protokolls trotz des Hyperbridge-Ausfalls intakt bleibt.