Nelle ultime ore il caso dell’attacco a Polkadot tramite il bridge Hyperbridge su Ethereum ha riportato l’attenzione sui rischi dei protocolli di interoperabilità cross-chain.
Summary
Polkadot chiarisce la portata dell’exploit su Hyperbridge
Il 13 aprile 2026 Polkadot ha diffuso una nota ufficiale dopo l’individuazione di un incidente di sicurezza nel contratto Ethereum gateway di Hyperbridge. Il team ha confermato che sono stati colpiti esclusivamente i token DOT bridged su Ethereum.
Nella comunicazione si legge: “Siamo a conoscenza di un problema che interessa il contratto Ethereum gateway di Hyperbridge”. Tuttavia, il progetto ha precisato che la criticità è rimasta confinata a quell’area specifica, senza compromettere l’intera rete.
Inoltre, il team ha sottolineato: “L’exploit riguarda solo DOT su Ethereum che è stato trasferito tramite Hyperbridge e non incide su DOT nell’ecosistema Polkadot, né su DOT trasferito tramite altri bridge”.
Detto ciò, l’evento non ha toccato il DOT nativo sulla relay chain, le parachain o altri ecosistemi collegati. Nonostante questa limitazione tecnica, il prezzo di mercato ne ha risentito: dopo l’hack, la crypto ha perso il 4,77%, scendendo a 1,16 dollari al momento della comunicazione.
Sospensione del bridge e primo bilancio economico
Come misura precauzionale, tutti i servizi di bridging legati al contratto colpito sono stati immediatamente sospesi. Polkadot ha spiegato: “Hyperbridge è stato messo in pausa mentre la questione viene indagata”. La sospensione è arrivata subito dopo l’emersione delle attività sospette.
In parallelo, Hyperbridge ha pubblicato un resoconto dettagliato dell’incidente. Nel rapporto si legge: “Il 13 aprile 2026 una vulnerabilità nel Token Gateway di Hyperbridge è stata sfruttata, causando perdite per circa 237.000 dollari su Ethereum”.
Il documento richiama l’attenzione sui modelli di sicurezza dei bridge. Molti sistemi cross-chain, infatti, dipendono da insiemi di validatori o da approvazioni multisig, creando forti vincoli di fiducia. Secondo Hyperbridge, queste architetture sono state associate a perdite cumulative per oltre 2 miliardi di dollari nel settore.
Architettura di Hyperbridge e natura della vulnerabilità
Hyperbridge ha ricordato che la propria architettura è pensata per mitigare tali rischi, facendo leva su prove crittografiche direttamente dalla blockchain anziché su gruppi centralizzati di approvatori. Tuttavia, nel caso specifico, non è stato il modello crittografico in sé a fallire.
L’indagine ha infatti individuato la causa radice in una vulnerabilità di tipo proof forgery all’interno di Hyperbridge. Più precisamente, si è trattato di un bug nella logica di verifica delle prove Merkle Mountain Range, sviluppata in Solidity.
Questa debolezza era presente nell’implementazione del verificatore Merkle tree, che doveva replicare la logica a monte di Polkadot. Il difetto rendeva non valide alcune prove che il sistema, erroneamente, considerava invece corrette.
Inoltre, è stata proprio questa falla di verifica a consentire il passaggio di un messaggio malevolo oltre i controlli di sicurezza. Il messaggio ha poi garantito all’attaccante l’accesso amministrativo al contratto del token DOT bridged su Ethereum.
Dettagli su come è stato mintato 1 miliardo di DOT
Una volta ottenuti i privilegi di amministrazione, l’attore malevolo ha proceduto al minting di 1 miliardo di DOT bridged. L’ammontare creato superava di oltre 2.800 volte la quantità legittimamente in circolazione, stimata in circa 356.000 token.
Questi nuovi token sono stati rapidamente spostati verso piattaforme di trading decentralizzate e liquidati sul mercato. Ciò ha contribuito alla pressione ribassista sul prezzo, in contrasto con fasi precedenti di maggiore stabilità per l’asset.
Nel contesto dell’attacco a Polkadot, gli sviluppatori hanno sottolineato che l’incidente riguarda esclusivamente il livello di bridging verso Ethereum e non la sicurezza del protocollo core o delle parachain.
Reazioni del team e prossimi passi su Hyperbridge
Hyperbridge ha assicurato di rimanere in contatto con i propri partner di sicurezza per tracciare il flusso dei fondi e valutare in che misura sia possibile procedere al recupero. Inoltre, la piattaforma si è impegnata a condividere ulteriori aggiornamenti man mano che l’indagine avanzerà.
Nel complesso, il caso riapre il dibattito sui rischi legati alle soluzioni cross-chain e sulle misure necessarie per rafforzare la sicurezza di bridge e gateway. La vulnerabilità emersa nel componente Merkle Mountain Range evidenzia come anche implementazioni pensate per essere allineate alla logica originaria possano introdurre punti deboli critici.
Detto ciò, la distinzione tra asset nativi e token bridged, chiarita fin dai primi comunicati, potrebbe limitare l’impatto reputazionale sull’ecosistema principale di Polkadot, pur lasciando aperta la questione della fiducia negli strumenti di interoperabilità.
