By De cryptowereld schrok onlangs van een nieuwe hack. Op 13 april 2026 buitte een aanvaller een kwetsbaarheid in de Token Gateway van Hyperbridge uit. Hierdoor maakte de hacker ongeveer $237.000 aan waarde buit op het Ethereum-netwerk. Het team achter Hyperbridge greep direct in en pauzeerde alle overboekingen.
Hoe de aanval op Hyperbridge kon plaatsvinden
De kern van het probleem lag in de verificatielogica van de zogenaamde Merkle Mountain Range (MMR) bewijzen. Het team schreef deze logica in Solidity om de werking van Polkadot nauwkeurig na te bootsen. Echter, een cruciale controle ontbrak in de VerifyProof() functie van het HandlerV1 contract.
Specifiek controleerde het systeem niet of de leaf_index kleiner was dan de leafCount. Hierdoor kon een aanvaller een ongeldig bewijs indienen dat het systeem toch accepteerde. Door deze ontwerpfout verwerkte het netwerk een kwaadaardig bericht, waardoor de hacker administratieve controle kreeg over het contract voor de overbrugde DOT-tokens op Ethereum.
De gevolgen: 1 miljard DOT-tokens gemint
Zodra de aanvaller de controle overnam, ondernam hij direct actie. De hacker mintte maar liefst 1 miljard overbrugde DOT-tokens. Om dit in perspectief te plaatsen: dit is meer dan 2.800 keer de legitieme circulerende voorraad, die op dat moment ongeveer 356.000 tokens bedroeg. Vervolgens verkocht de dader deze nieuw gecreëerde tokens razendsnel op een gedecentraliseerde beurs (DEX), wat resulteerde in de totale schade van $237.000.
Ondanks de ernst van de situatie benadrukt Hyperbridge dat het incident geïsoleerd bleef. De aanval had uitsluitend betrekking op overbrugde DOT-tokens op het Ethereum-netwerk. Daardoor blijven native DOT-tokens op de Polkadot relay chain, parachains en andere activa binnen het Hyperbridge-ecosysteem volledig veilig en onaangetast.
Maatregelen en herstel
Direct na de ontdekking van de hack pauzeerde Hyperbridge alle transacties om verdere schade te voorkomen. Het team werkt momenteel nauw samen met beveiligingspartners om de gestolen fondsen op te sporen en waar mogelijk terug te halen. Gebruikers ontvangen updates via officiële kanalen en kunnen voor vragen terecht bij de ondersteuning van Polytope Technology.
Hoewel Hyperbridge het systeem juist ontwierp om menselijke fouten te minimaliseren door cryptografische bewijzen te gebruiken in plaats van validators of multisigs, toont dit incident aan dat ook slimme contracten kwetsbaar kunnen zijn voor programmeerfouten.
