एक एक्सप्लॉइट (सुरक्षा भंग) जिसके कारण इस सप्ताह की शुरुआत में 1 बिलियन रैप्ड पोल्काडॉट (DOT) टोकन की माइनिंग (निर्माण) हुई, वह मूल रिपोर्ट से भी कहीं अधिक बुरा है, हाइपरब्रिज की टीम के अनुसार।
पोल्काडॉट-एथेरियम ब्रिज से जुड़े $237,000 के टोकन नुकसान का जो अनुमान लगाया गया था, वह वास्तव में $2.5 मिलियन के करीब है – यह प्रारंभिक रिपोर्ट से 10 गुना से भी अधिक की वृद्धि है।
“एक हमलावर ने मर्कल माउंटेन रेंज (MMR) प्रूफ वेरिफिकेशन लॉजिक में एक भेद्यता का फायदा उठाया, जिससे अपराधी को टोकन गेटवे पर एसेट्स मिंट करने और एस्क्रोड एसेट्स को निकालने की अनुमति मिली,” टीम ने गुरुवार को एक पोस्टमॉर्टम में पोस्ट किया।
हमलावर ने संबंधित TokenGateway कॉन्ट्रैक्ट से लगभग 245 ETH निकाले।
लगभग एक घंटे बाद, एक नकली क्रॉस-चेन मैसेज ने MMR प्रूफ वेरिफिकेशन को बायपास कर दिया, जिससे हमलावर को 1 बिलियन ब्रिज्ड DOT मिंट करने और उन्हें कम लिक्विडिटी में बेचने की अनुमति मिली।
— Hyperbridge (@hyperbridge) April 16, 2026
“एथेरियम पर ब्रिज्ड DOT की तुरंत दिखने वाली बिकवाली के आधार पर, वास्तविक नुकसान का हमारा प्रारंभिक सार्वजनिक अनुमान लगभग $237,000 था,” उन्होंने आगे कहा। “वह आंकड़ा पूरी तस्वीर नहीं दिखा पाया था, जैसा कि हमें बाद में पता चला।”
$237,000 के प्रत्यक्ष नुकसान के अलावा, दुर्भावनापूर्ण DOT टोकन माइनिंग से घंटों पहले एक स्मार्ट कॉन्ट्रैक्ट से 245 ETH या लगभग $561,000 का एक्सप्लॉइट किया गया। इसके अतिरिक्त, तीन कनेक्टेड ब्लॉकचेन—बेस, आर्बिट्रम, और BNB चेन—भी प्रभावित हुए, जो टीम की मूल रिपोर्ट के विपरीत है, जिसमें कहा गया था कि केवल एथेरियम पर रैप्ड DOT प्रभावित हुए थे।
“चारों चेन पर हमलावर की गतिविधि के मिलान, हमले के दो-चरण के स्वरूप, और संबंधित प्रोत्साहन पूलों से हुए नुकसान के बाद, संशोधित कुल वास्तविक नुकसान लगभग $2.5 मिलियन है, जिसे एक्सप्लॉइट के समय ETH और DOT में दर्शाया गया है,” इसने लिखा।
चोरी हुए फंडों का पता बिनेंस (Binance) पर एक जमा पते पर लगाया गया है, और फर्म ने चोरी हुई संपत्तियों को फ्रीज और पुनः प्राप्त करने के प्रयास में केंद्रीकृत एक्सचेंज की कंप्लायंस टीम और संबंधित कानून प्रवर्तन एजेंसियों को शामिल किया है — लेकिन उसे जल्द समाधान की उम्मीद नहीं है।
“हम हर उपलब्ध माध्यम का पीछा कर रहे हैं, लेकिन इस प्रकार के मामले में सार्थक रिकवरी की यथार्थवादी समय-सीमा महीनों में मापी जाती है, और एक साल तक भी बढ़ सकती है,” इसने आगे कहा।
जबकि इसका लक्ष्य सभी प्रभावित उपयोगकर्ताओं को पूरी तरह से क्षतिपूर्ति देना है, जिसमें समझौता किए गए फंडों का पुनर्भुगतान शामिल है, प्रोटोकॉल ने संकेत दिया कि यदि वह ऐसा करने में असमर्थ रहता है, तो वह “अवशिष्ट नुकसान को कवर करने के लिए एक संरचित BRIDGE टोकन आवंटन के लिए प्रतिबद्ध” है।
लेकिन BRIDGE, इसका मूल प्रोटोकॉल टोकन, बहुत कम वॉल्यूम बनाए रखता है, कॉइनगेको (CoinGecko) के आंकड़ों के अनुसार, 29 मार्च को जब यह लगभग $0.006 पर कारोबार कर रहा था, तब इसने 24 घंटों में $1,800 का कारोबार किया। उस मूल्य बिंदु पर, टोकन का मार्केट कैप (बाजार पूंजीकरण) लगभग $858,000 था, जो इसके एक्सप्लॉइट से हुए कुल नुकसान का लगभग एक तिहाई है।
चार प्रभावित ब्लॉकचेन पर ब्रिजिंग कार्यक्षमता अभी भी रुकी हुई है, और यह केवल एक पैच (सुधार) तैनात और ऑडिट होने के बाद ही फिर से शुरू होगी।
“यह हमारी इस धारणा को नहीं बदलता कि क्रॉस-चेन इंटरऑपरेबिलिटी केवल क्रिप्टोग्राफिक प्रूफ के माध्यम से ही सुरक्षित है,” प्रोटोकॉल टीम ने लिखा।
“इस एक्सप्लॉइट ने जो स्पष्ट किया है, वह महंगा होते हुए भी, यह है कि वेरिफिकेशन लॉजिक को स्टैक के हर स्तर पर अधिक बार ऑडिट और प्रतिकूल परीक्षण की आवश्यकता है,” इसने आगे कहा। “यह वह मानक है जिसके तहत टोकन गेटवे भविष्य में काम करेगा।”
