Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 269Exploit de pont

Contournement de preuve MMR de Hyperbridge

1 Md de DOT bridgés mintés sur Hyperbridge après une vérification de bornes manquante dans VerifyProof ; perte réalisée ~2,5 M$.

Date
Victime
Hyperbridge
Chaîne(s)
EthereumBaseBNB ChainArbitrum
Statut
Fonds dérobés

Le 13 avril 2026, le pont cross-chain basé sur Polkadot Hyperbridge a été exploité via une vérification de bornes manquante dans la logique de vérification de preuve Merkle Mountain Range (MMR) de son contrat Handler V1 vieux de 2 ans. L'attaquant a minté environ 1 milliard de tokens DOT bridgés sur les réseaux EVM (Ethereum, Base, BNB Chain, Arbitrum) et les a déversés dans la liquidité disponible. Les pertes initiales ont été rapportées à 237 000 $ — plus tard révisées à environ 2,5 millions de dollars quand l'impact plus large sur les pools d'incitation et les protocoles dépendants est devenu clair.

Ce qui s'est passé

Hyperbridge relie l'écosystème parachain de Polkadot aux réseaux EVM en utilisant des preuves cryptographiques Merkle Mountain Range (MMR). Le handler côté EVM du pont vérifie ces preuves contre les racines committées de la chaîne relais Polkadot pour autoriser les retraits et le mint de tokens.

La vulnérabilité était une vérification de bornes manquante dans la fonction VerifyProof() du contrat Handler V1 — du code qui avait été écrit plus de deux ans avant l'exploit. Sans la vérification de bornes, un attaquant pouvait construire une preuve MMR que le handler accepterait comme valide même si la preuve ne correspondait à aucun engagement légitime.

L'attaque s'est déroulée en deux phases :

  1. Extraction initiale : un attaquant a drainé environ 245 ETH du contrat TokenGateway de Hyperbridge via la vulnérabilité de contournement de preuve.
  2. Événement principal (~1 heure plus tard) : l'attaquant a minté environ 1 milliard de tokens DOT bridgés sur les quatre réseaux EVM supportés et les a immédiatement déversés dans la liquidité DEX disponible.

L'extraction réelle en cash a été limitée par la profondeur de liquidité des DEX — la plupart des DEX détenant des DOT bridgés avaient une capacité limitée pour absorber 1 milliard de tokens entrants à des prix significatifs. Le prix du DOT bridgé s'est effondré sur chaque EVM où Hyperbridge avait de la liquidité, laissant la plupart des tokens fraîchement mintés effectivement sans valeur.

La révision d'estimation de perte de 237 K$ à 2,5 M$ reflétait :

  • L'extraction DEX réalisée (~1 M$+ en actifs réels).
  • Les impacts sur les pools d'incitation sur plusieurs chaînes qui dépendaient du DOT bridgé.
  • Les pertes en cascade chez les protocoles intégrés qui détenaient du DOT bridgé comme collatéral ou dans des positions de liquidité.

Conséquences

  • Hyperbridge a ouvert une fenêtre de retour de 14 jours pour l'attaquant, avec la promesse que les adresses de wallets détenant des fonds non retournés après la deadline seraient référées aux forces de l'ordre.
  • Des portions significatives des fonds ont été tracées à Binance — Hyperbridge a engagé l'équipe compliance de Binance pour le gel d'actifs.
  • La vulnérabilité a été patchée dans les déploiements ultérieurs du contrat Handler avec des vérifications de bornes explicites.
  • Hyperbridge a ensuite annoncé un programme de bug bounty de 50 000 $ pour les futures vulnérabilités critiques — un paiement relativement petit qui a attiré des critiques de l'industrie comme inadéquat pour l'échelle de la surface d'attaque du protocole.

Pourquoi c'est important

L'incident Hyperbridge illustre deux patterns 2026 convergents :

  1. Le code de contrat legacy devient de plus en plus dangereux en vieillissant — le Handler V1 vieux de 2 ans a été écrit à une époque où la vérification de preuve MMR était moins bien comprise comme surface d'attaque, et la vérification de bornes manquante a survécu à plusieurs audits parce que la vérification de preuve cross-chain était traitée comme un territoire exotique par les reviewers focalisés sur les primitives EVM-natives.

  2. L'écart entre « offre mintée » et « valeur extraite » continue de définir comment les exploits de ponts encaissent dans les écosystèmes de chaînes plus petites. L'attaquant a minté 1 milliard $ en représentation nominale de DOT mais n'a extrait ~2,5 M$ en valeur réalisée que parce que les venues de liquidité ne pouvaient absorber l'offre à des prix significatifs.

Les réponses défensives adoptées dans l'écosystème de ponts post-KelpDAO incluent :

  • Contrôles de mint — plafonds durs sur l'émission de tokens cross-chain par epoch.
  • Limites de liquidité — protocoles restreignant la quantité d'offre bridgée qu'ils accepteront comme collatéral.
  • Coordination plus serrée de réponse à incident avec les grands CEX et agrégateurs DEX pour un gel rapide.

Le bug bounty de 50 K$ a été caractérisé par les chercheurs en sécurité comme bien en dessous du taux courant pour les vulnérabilités critiques de pont. La leçon structurelle, de plus en plus contestée, est que les bounties de pont doivent être compétitifs avec l'upside que les attaquants peuvent capturer — et aux niveaux de TVL des ponts modernes, c'est typiquement 250 K$-1 M$+ par critique, pas 50 K$.

Sources & preuves on-chain

  1. [01]cryptotimes.iohttps://www.cryptotimes.io/2026/04/16/hyperbridge-raises-exploit-loss-estimate-to-2-5m-from-237k/
  2. [02]blog.hyperbridge.networkhttps://blog.hyperbridge.network/recovery-and-next-steps/
  3. [03]theblock.cohttps://www.theblock.co/post/397773/polkadot-hyperbridge-exploit-losses-2-5-million-ten-times-initial-estimate

Dépôts liés