Hyperbridge skorygował wysokość strat po ataku z 13 kwietnia do około 2,5 mln USD. To około 10 razy więcej niż pierwotnie szacowano, czyli 237 000 USD.
Zespół podał nową kwotę w aktualizacji po incydencie z 16 kwietnia. Skorygowana suma uwzględnia także straty z powiązanych pul motywacyjnych. Odzwierciedla także działania dochodzeniowe na czterech łańcuchach EVM.
Co obejmuje skorygowana kwota
Według pierwszych doniesień, atakujący wyemitował 1 mld mostkowanych tokenów DOT i upłynnił całą pulę w jednej transakcji, otrzymując 108,2 ETH (około 237 000 USD).
Jednak zespół podkreślił, że ta wartość nie odzwierciedlała całości sytuacji.
“Po uzgodnieniu działań atakującego na każdym z czterech łańcuchów, uwzględnieniu dwufazowego charakteru ataku oraz strat z powiązanych pul motywacyjnych, łączna zrealizowana strata wynosi około 2,5 mln USD, licząc w ETH i DOT według kursów z dnia ataku,” czytamy na blogu.
Obserwuj nas na X, żeby być na bieżąco z najnowszymi informacjami
Analiza wyjaśniła także kolejność zdarzeń prowadzących do naruszenia. To, co wyglądało na jeden atak, okazało się dwiema połączonymi akcjami, oddalonymi o około godzinę.
Atakujący najpierw wyciągnął około 245 ETH z kontraktu Token Gateway. Około godzinę później dokonał nieautoryzowanej emisji prawie 1 mld mostkowanych tokenów DOT.
Następnie sprzedał je korzystając z dostępnej płynności na zdecentralizowanych giełdach.
“13 kwietnia 2026 roku atakujący wykorzystał lukę w logice weryfikowania dowodów Merkle Mountain Range (mmr), co pozwoliło mu emitować oraz opróżnić zdeponowane aktywa przez Token Gateway. Skutkiem było naruszenie pul tokenów DOT na połączonych sieciach EVM: Ethereum, Base, BNB Chain i Arbitrum,” wyjaśnił zespół.
Zespół podkreślił, że eksploit pozostał ograniczony do Token Gateway oraz dotkniętych kontraktów mostkowanych tokenów na sieciach EVM.
Ścieżka odzyskania Hyperbridge i rekompensaty
Blog ujawnił, że znaczną część skradzionych środków udało się wyśledzić na Binance. Hyperbridge współpracuje z zespołem ds. zgodności giełdy i organami ścigania przy zamrażaniu aktywów. Zespół ostrzega jednak, że realne odzyskanie środków może potrwać od kilku miesięcy do roku.
Jeśli zwrot środków okaże się niewystarczający, poszkodowani użytkownicy otrzymają rekompensatę w tokenach BRIDGE, czyli natywnym aktywie sieci Hyperbridge. Szczegóły mechanizmu rekompensaty i harmonogram wypłat pojawią się 13 kwietnia 2027 roku, równo rok po ataku.
“Najpierw skupiamy się na odzyskaniu środków, zanim uruchomimy rekompensaty tokenowe, z myślą o poszkodowanych użytkownikach. Zbyt szybkie wydanie rekompensaty, zanim zakończy się śledzenie on-chain, procedury zgodności giełd i współpraca z organami ścigania, rozmyłoby wartość aktywa, które pragniemy przekazać użytkownikom, oraz zmniejszyłoby realną wartość końcowej rekompensaty,” przekazał Hyperbridge.
Zespół dodał, że Token Gateway pozostaje wstrzymany i nie zostanie uruchomiony, dopóki luka nie zostanie w pełni załatana, poprawka nie przejdzie niezależnego audytu z publicznym raportem oraz nie wdrożymy dodatkowych zabezpieczeń. Najbliższe miesiące pokażą, czy Hyperbridge odzyska znaczną część skradzionych środków.
