Hyperbridge ponts inter-chaînes attaqué : 1 milliard de DOT forgé de nulle part, l'attaquant ne gagne que 230 000 dollars

Le 13 avril 2026, l’organisme de sécurité blockchain CertiK a détecté une attaque exploitant une vulnérabilité dans le contrat de passerelle cross-chain Hyperbridge. L’attaquant a falsifié des messages cross-chain pour modifier les droits d’administration du contrat de pontage des tokens Polkadot (DOT) sur Ethereum, créant illégalement 1 milliard de DOT bridgés, puis les a tous vendus, ne réalisant qu’un profit d’environ 108,2 ETH, soit environ 237 000 dollars. Ce « braquage » d’une valeur nominale de plus d’un milliard de dollars s’est évaporé en raison d’un manque de liquidité, mais il a remis en lumière la vulnérabilité de sécurité persistante des ponts cross-chain, remettant ce problème au centre de l’attention de l’industrie.

Comment la vulnérabilité de relecture de la preuve MMR a été déclenchée

Quelle est la racine technique de cette attaque ? BlockSec Phalcon a qualifié cette vulnérabilité de relecture de preuve MMR (Merkle Mountain Range). Le contrat HandlerV1 de Hyperbridge, dans son mécanisme de protection contre la relecture, ne vérifiait que si le hash de la requête promise avait déjà été utilisé, mais le processus de validation de la preuve ne liait pas le chargement de la requête soumise à la preuve vérifiée.

Ce décalage logique permettait à l’attaquant de rejouer une preuve valide acceptée par le système dans le passé, de la faire correspondre à une nouvelle requête malveillante, et via la chemin TokenGateway.onAccept() d’exécuter l’opération ChangeAssetAdmin, transférant ainsi les droits d’administration et de mint du contrat wrapped DOT sur Ethereum vers une adresse contrôlée par l’attaquant. La mise à jour publiée par Hyperbridge confirme également que la vulnérabilité provient de l’absence de vérification de l’entrée leaf_index < leafCount dans la fonction VerifyProof(), permettant à l’attaquant de falsifier une preuve Merkle. En substance, il s’agit d’une vulnérabilité classique combinant « relecture + escalade de privilèges » — l’attaquant n’a pas cassé la cryptographie, mais a exploité une rupture dans la logique de validation entre différents modules.

Pourquoi seulement 23 000 dollars ont été récupérés sur 1 milliard de DOT

Ce qui est ironiquement frappant dans cette attaque, c’est l’écart énorme entre les 1 milliard de tokens et les 237 000 dollars de gains. Selon les données de Lookonchain, avant la vente, le prix du DOT bridgé sur Ethereum était d’environ 1,22 dollar, avec un potentiel d’arbitrage maximal supérieur à 12 milliards de dollars.

Cependant, la liquidité on-chain du DOT bridgé sur Ethereum était extrêmement limitée. L’attaquant a utilisé Odos Router et la pool de liquidité Uniswap V4 pour vendre en masse les 1 milliard de tokens, faisant chuter instantanément le prix de 1,22 dollar presque à zéro. La quantité de 1 milliard de tokens représentait environ 2 805 fois la circulation rapportée de 356 000 tokens à l’époque. Cette offre massive a écrasé la faible liquidité du pool, provoquant une forte glissade de prix, rendant la majorité des tokens nouvellement émis pratiquement sans valeur. L’attaquant pouvait créer des tokens, mais pas créer de demande ou de liquidité.

La frontière de sécurité entre actifs bridgés et actifs natifs

Il est crucial de clarifier un fait : cette attaque visait le contrat du token DOT bridgé déployé sur Ethereum, et non la chaîne principale native Polkadot. Les responsables de Polkadot ont explicitement indiqué que cette vulnérabilité n’affecte que le DOT transféré via Hyperbridge vers Ethereum, et que les DOT natifs ainsi que d’autres actifs de l’écosystème Polkadot n’ont pas été directement compromis. Hyperbridge est un projet de passerelle cross-chain développé par Polytope Labs, une solution tierce, et non une infrastructure centrale officielle de Polkadot.

Cette distinction met en évidence le paradoxe clé de la sécurité des ponts cross-chain : les contrats intelligents d’actifs bridgés sont déployés indépendamment sur la chaîne cible, avec des standards d’audit et de surveillance qui peuvent différer de ceux de la chaîne native. L’attaquant n’a pas besoin d’interférer avec le consensus de la chaîne principale, mais peut provoquer des dégâts massifs en exploitant une seule faille dans le contrat de pont. Les utilisateurs détenant des actifs bridgés supportent un risque non seulement lié à la sécurité de la chaîne principale, mais aussi à celle du contrat de l’infrastructure de pont.

Quelles tendances pour les attaques cross-chain en 2026

L’attaque contre Hyperbridge n’est pas un cas isolé de 2026. Selon des données sectorielles, au premier trimestre 2026, les pertes totales dues aux attaques de hackers dans le domaine DeFi s’élèvent à environ 168 millions de dollars. Bien que cela représente une baisse significative par rapport aux 1,58 milliard de dollars du même trimestre en 2025, les risques structurels persistent. En février 2026, le pont CrossCurve a perdu environ 3 millions de dollars suite à une vulnérabilité dans le contrat intelligent ; en mars, le pont ioTube a subi une perte de plus de 4,4 millions de dollars suite à la fuite de la clé privée du contrat de validateurs sur Ethereum. Les ponts cross-chain représentent plus de 60 % des incidents de sécurité majeurs en DeFi, restant l’une des cibles les plus prisées par les hackers.

Dans un rapport de sécurité cross-chain publié début 2026, Sherlock a souligné que ces attaques suivent un schéma prévisible : des hypothèses de confiance codées en garanties déterministes, des échecs d’authentification aux frontières des messages, et un système qui accorde tous les droits via une seule voie d’exécution. L’incident Hyperbridge illustre parfaitement cette description — le contrat suppose que la vérification de la preuve MMR et la liaison avec la requête sont sécurisées, mais une rupture dans la logique du code rend cette hypothèse invalide.

La faiblesse de la liquidité : un « bouclier » ou un risque accru ?

Dans cette attaque, la faible liquidité a joué un rôle paradoxal : elle a limité le profit réel de l’attaquant à 237 000 dollars. Si la même faille s’était produite sur un actif avec une liquidité plus profonde ou une valeur plus élevée, la perte aurait pu s’amplifier de façon exponentielle. Ce paradoxe — pertes limitées mais risques très élevés — est précisément le problème le plus épineux dans la sécurité cross-chain : l’industrie a tendance à se laisser berner par une perte unique limitée, sous-estimant la menace structurelle que représente la vulnérabilité.

D’autre part, la faible liquidité des actifs bridgés est aussi un signe de fragilité du marché. La quantité de DOT bridgé sur Ethereum est d’environ 356 000 tokens, avec une profondeur de pool très limitée, ce qui signifie que même sans attaque, de grosses transactions provoqueraient une glissade de prix importante, affectant l’efficacité de l’utilisation des actifs. La faible liquidité a « sauvé » Polkadot dans cette affaire, mais elle révèle aussi la vulnérabilité profonde de la couche d’interopérabilité : les actifs bridgés manquent à la fois de profondeur de marché et de redondance sécuritaire.

Quel est le vrai dilemme de la sécurité cross-chain ?

Le cœur du dilemme de la sécurité cross-chain réside dans la contradiction fondamentale du « transfert de confiance ». Un pont cross-chain est essentiellement un « adaptateur de sécurité » — il traduit les informations de finalité, de qualification et d’autorisation d’une chaîne en instructions de confiance dans l’environnement d’une autre chaîne. À chaque étape de cette traduction, une rupture logique peut être exploitée par un attaquant.

Les défis sont multiples : d’une part, le code des ponts est beaucoup plus complexe que celui d’un seul contrat sur une chaîne, impliquant oracles, relayeurs, validateurs, etc. D’autre part, beaucoup de projets privilégient une mise en ligne rapide plutôt qu’une compréhension approfondie du système, introduisant des vulnérabilités. La vérification formelle et la preuve mathématique de sécurité ne sont pas encore la norme, et la couverture par des audits tiers reste inégale.

Quelles orientations pour la sécurité cross-chain à l’avenir ?

À partir de cet incident, plusieurs directions claires peuvent être dégagées. Premièrement, le mécanisme de validation doit assurer un lien complet « requête-probation » tout au long de la chaîne, éliminant toute rupture logique. Deuxièmement, les protocoles cross-chain doivent faire du principe de minimisation des droits et de la vérification multiple leur fondation, plutôt qu’un simple correctif ultérieur. Troisièmement, l’industrie doit établir un modèle de confiance plus transparent — les utilisateurs doivent connaître clairement leurs hypothèses de sécurité et leurs limites de risque lors de l’utilisation d’un pont. Enfin, la sécurité doit évoluer vers la vérification formelle et la surveillance continue, passant d’un contrôle ponctuel à une protection tout au long du cycle de vie.

Les ponts cross-chain étant des infrastructures clés pour l’interopérabilité Web3, leur sécurité déterminera directement l’avenir de l’écosystème. La leçon de l’incident Hyperbridge ne réside pas dans la perte de 237 000 dollars, mais dans la révélation d’une vérité incontournable : la puissance destructrice d’une vulnérabilité ne dépend pas de l’ambition de l’attaquant, mais de la conception même du système et de sa capacité à respecter ses hypothèses de sécurité.

Résumé

L’attaque par relecture de preuve MMR du pont Hyperbridge a mis en évidence une rupture logique fondamentale dans la vérification des protocoles cross-chain — la liaison entre requête et preuve n’était pas assurée. L’attaquant a pu créer 1 milliard de DOT bridgés, mais en raison de la faible liquidité de cet actif sur Ethereum, n’a récupéré qu’environ 23 700 dollars. Cet incident n’affecte pas la chaîne principale Polkadot, mais souligne la vulnérabilité structurelle des actifs bridgés en termes d’audit de sécurité et de profondeur de marché. Les attaques cross-chain continueront en 2026, et l’industrie doit renforcer ses standards en liant la vérification, en minimisant les droits et en adoptant la vérification formelle.

Questions fréquentes

Q : La création de 10 milliards de DOT lors de l’attaque Hyperbridge affecte-t-elle le total des DOT natifs de Polkadot ?

Non. La création concerne le DOT bridgé déployé sur Ethereum par Hyperbridge, qui est un actif encapsulé, et non le DOT natif de la chaîne principale Polkadot. La quantité totale et la sécurité du DOT natif ne sont pas affectées.

Q : Pourquoi l’attaquant n’a-t-il réalisé qu’un profit de 23 000 dollars au lieu de la valeur nominale de 10 milliards de DOT ?

La raison principale est la liquidité extrêmement limitée du DOT bridgé sur Ethereum. Lors de la vente massive de 1 milliard de tokens, le prix a fortement glissé, passant de 1,22 dollar à presque zéro, empêchant la majorité des tokens d’être efficacement monétisés.

Q : Qu’est-ce qu’une vulnérabilité de relecture de preuve MMR ?

MMR (Merkle Mountain Range) est une variante d’arbre Merkle, souvent utilisée pour la vérification légère en blockchain. La vulnérabilité ici réside dans le fait que le contrat HandlerV1 de Hyperbridge ne liait pas la preuve à la requête lors de la vérification, permettant à un attaquant de rejouer une preuve valide du passé, combinée à une requête falsifiée, pour obtenir des droits d’administration.

Q : Pourquoi les ponts cross-chain sont-ils des cibles fréquentes ?

Les ponts détiennent souvent des droits de gestion sur des tokens. Si leur mécanisme de validation est compromis, un attaquant peut créer une quantité illimitée ou voler des actifs. La complexité de leur architecture, impliquant plusieurs contrats et composants hors chaîne, augmente leur surface d’attaque, en faisant une cible privilégiée pour les hackers.

Q : Comment les utilisateurs détenant des DOT bridgés doivent-ils évaluer leur risque ?

Ils doivent comprendre que le risque ne vient pas uniquement de la chaîne principale, mais aussi de la sécurité du contrat de l’infrastructure de pont. Il est conseillé d’étudier l’historique des audits, la taille des fonds verrouillés, et la présence d’incidents de sécurité antérieurs pour mieux évaluer leur exposition.