- A exploração na ponte entre Polkadot e Ethereum levou à emissão de 1 bilhão de DOT, com perdas totais revisadas para cerca de US$ 2,5 milhões (havia estimativa inicial de US$ 237 mil).
- Além dos DOT, houve retirada de 245 ETH, equivalente a aproximadamente US$ 561 mil, antes da emissão maliciosa de tokens.
- O ataque explorou uma vulnerabilidade na lógica de verificação de provas da Merkle Mountain Range (MMR), permitindo emitir ativos e drenar fundos.
- Quatro blockchains foram afetadas: Base, Arbitrum, BNB Chain e a ponte DOT na rede Ethereum, contrariando o relatório inicial.
- Os fundos roubados foram rastreados até um depósito na Binance; a recuperação pode levar meses ou até um ano, e a interoperabilidade entre as blockchains permanece suspensa até uma correção ser implementada e auditada.
O ataque à ponte entre Polkadot e Ethereum, operada pela Hyperbridge, teve perdas recalculadas. O protocolo informou que a fraude não atingiu apenas o valor inicial estimado, mas chegou a cerca de US$ 2,5 milhões, mais de 10 vezes o valor divulgado no começo. A violação permitiu a emissão de 1 bilhão de DOT, com danos em ativos em custódia no Token Gateway.
A equipe explicou que o invasor explorou uma vulnerabilidade na lógica de verificação de provas da Merkle Mountain Range (MMR), o que viabilizou a emissão de tokens e o extravio de ativos. A estimativa pública inicial considerava apenas a venda imediata de DOT na ponte para Ethereum, mas essa leitura não representava o quadro completo.
Extensão do impacto e ativos envolvidos
Além dos US$ 237 mil em perdas observáveis, o atacante usou um contrato inteligente para obter 245 ETH, cerca de US$ 561 mil, horas antes da emissão maliciosa de DOT. Três blockchains conectadas — Base, Arbitrum e BNB Chain — também foram atingidas, contrariando o diagnóstico inicial de que apenas o DOT encapsulado em Ethereum havia sido afetado.
A avaliação da equipe aponta que, após análise da atividade do atacante em quatro blockchains, a natureza bifásica do ataque e as perdas de incentivos, a perda total revisada é de aproximadamente US$ 2,5 milhões, em ETH e DOT.
Rastreio de fundos e resposta regulatória
Os recursos desviados foram vinculados a um endereço de depósito na Binance. A exchange comunicou equipes de compliance e autoridades para tentar congelar e recuperar os ativos, porém a recuperação não é prevista de imediato. A expectativa é de que o processo leve meses, podendo se estender a um ano.
O protocolo mencionou que pretende compensar os usuários afetados por meio de uma alocação estruturada de tokens BRIDGE para cobrir perdas residuais, caso não haja possibilidade de restituir tudo. O BRIDGE, token nativo, mostra liquidez extremamente baixa, com negociação recente em torno de US$ 1.800, após pico anterior de US$ 0,006 em março. A capitalização de mercado fica em cerca de US$ 858 mil, aproximadamente um terço das perdas totais.
Interoperabilidade e próximos passos
A funcionalidade de interoperabilidade entre as quatro blockchains permanece suspensa e só será retomada após implementação e auditoria de uma correção. A equipe reiterou que a segurança entre blockchains depende de provas criptográficas e que a auditoria de toda a arquitetura deve tornar o processo mais robusto. O protocolo sinalizou que a lógica de verificação passará por auditorias mais frequentes e testes adversários futuras.
Entre na conversa da comunidade