最瞎劫案？黑客鑄造 10 亿美元 $DOT，因「这理由」只偷到 23 万美元

加密货币攻击事件层出不穷，但像这样「冒大险、赚小钱」的案例还真不多见。今（13）日稍早，有黑客利用 Hyperbridge 跨链桥的漏洞，在以太坊上凭空铸造了 10 亿枚 Polkadot（DOT）代币，名义价值高达 11.9 亿美元。然而当他试图将这些代币出售时，却因流动性严重不足，最终只换得约 23.7 万美元的以太币。
需要澄清的是，黑客攻击的目标是「跨链桥智能合约」，因此 Polkadot 主网上的原生 DOT 代币并未受到波及。这次漏洞主因 Hyperbridge 的 EthereumHost 合约在将跨链信息传递给 TokenGateway 之前，未能正确验证信息的真实性。

Bridged $DOT (@Polkadot) just got exploited on @ethereum.

Control was swapped to the attacker’s contract, then 1B $DOT was minted and instantly dumped. Price cratered from $1.22 to tiny fractions of a cent.https://t.co/ECDT0RaHE9 pic.twitter.com/WUwxjtsNwr

— Onchain Lens (@OnchainLens) April 13, 2026

跨链桥一直是区块链架构中最脆弱的环节，因为它们握有代币合约的管理权限，一旦验证机制出现破口，黑客就能轻易取得无限铸造代币的权力。
攻击手法：伪造信息、夺取管理权、无限铸币
链上追踪显示，黑客通过 dispatchIncoming 提交了一则伪造的信息，并成功将其导向 TokenGateway.onAccept。原本系统应当根据 Polkadot 链上的状态核对这则信息的真实性，但验证机制却将承诺值记录为「全零」，这意味着验证程序完全被绕过或根本不存在，于是系统误将这则假信息视为合法指令。
被接受的信息随即执行对桥接 Polkadot 代币合约的 changeAdmin 功能，将管理员权限转移给攻击者的地址。取得管理权后，攻击者在单笔交易中铸造了 10 亿枚 DOT 代币，并通过 Odos Router V3 将这些代币倒入 Uniswap V4 的 DOT-ETH 交易池，以略微不同的价格进行多次兑换后，最终提取约 108.2 枚以太币。
「流动性不足」反而成为防护罩
在金融市场中，「流动性不足」通常是巨鲸大户最头痛的问题，但讽刺的是，这次流动性不足反而成了无形的防护罩，大幅限制了黑客的获利空间。
由于以太坊上的 DOT 流动性深度极为有限，根本无法消化这 10 亿枚凭空多出来的代币，当黑客急着抛售套现时，严重滑价导致每枚代币的实际价格连 1 美分都不到。
若是在一个流动性更深、或价值更高的桥接资产上，同样的漏洞恐怕将造成数十倍的损失。截至写稿时，DOT 交易价格约为 1.17 美元，过去 24 小时下跌 5%。
这起事件再次说明：即便黑客掌握「无限铸币权」，最终能否成功套利，仍取决于市场流动性与交易深度。知名区块链资安机构 CertiK 随后证实了这起攻击事件，并表示黑客借由铸造与拋售桥接代币，获利约 23.7 万美元。
截至目前为止，Hyperbridge 官方尚未针对黑客事件发表公开评论。

#CertiKInsight 🚨

我们已发现 @hyperbridge 网关合约存在漏洞。 https://t.co/h27iDm1JGd

攻击者通过伪造的信息，成功更改以太坊上 Polkadot 代币合约的管理员，并通过铸造与出售 1B 代币获利约 ~$237K 。

Stay… pic.twitter.com/3t2n4uq5hy

— CertiK Alert (@CertiKAlert) April 13, 2026