区块链跨链互操作性协议 Hyperbridge 近期遭遇严重安全事件，一名攻击者通过单次交易窃取了约 237,000 美元资金，这一案例再次将聚光灯打在了桥接基础设施的脆弱性上。根据网络安全平台 CertiK 披露的链上数据，攻击者在 Hyperbridge 网络中通过一次操作便凭空制造了 10 亿个经过桥接处理的 Polkadot 代币，其手段之精准令人咋舌。

CertiK 进一步分析指出，黑客通过发送伪造消息成功篡改了 Ethereum 平台上 Polkadot 代币合约的管理员权限设置，从而绕过了常规验证机制并批量铸造代币。然而，由于 Ethereum 网络上该桥接代币的流动性极度匮乏，尽管攻击者手中持有 10 亿枚代币，最终在二级市场抛售时仅兑换到 108.2 个以太坊，折合价值约为 237,000 美元，未能实现理论上的巨额套利。

网络安全研究机构 Blocksec Falcon 深入剖析认为，此次攻击的根本原因在于 Merkle Mountain Range 证明重放漏洞，该漏洞源于系统缺乏证明与请求之间的绑定机制，导致恶意证明可被重复利用；不过截至目前，Hyperbridge 开发团队尚未正式确认这一技术归因的准确性。在事件爆发后，Hyperbridge 立即暂停了所有运营活动，其开发团队正紧急对系统进行升级以修补潜在风险，而贡献者 Web3 Philosopher 的初步诊断也佐证了攻击者利用了某种恶意证明机制欺骗了协议的 Merkle 树验证逻辑。

据午方 AI 监测显示，此类针对跨链桥验证逻辑的攻击并非孤例，就在上周，Aethir 也曾披露遭遇类似攻击，但得益于快速响应，成功将用户损失控制在 90,000 美元以下。此次 Hyperbridge 事件之所以引发行业高度关注，是因为该协议一直将自己定位为基于证明机制的互操作性层，宣称能为跨链方案提供全节点级安全性，此次失守直接动摇了市场对其安全架构的信任。

Polkadot 官方在周一发布的声明中澄清，此次攻击仅影响通过 Hyperbridge 桥接到 Ethereum 平台的代币，原生 Polkadot 代币及整个生态系统并未受到波及，CoinGecko 数据显示原生代币价格虽一度跌至 1.16 美元的日内低点，但随后迅速回升至 1.19 美元以上。尽管去中心化金融领域的攻击损失同比大幅下降，但网络安全威胁依然频发，周日数据索引协议 SubQuery Network 也因缺失访问控制机制被盗取约 130,000 美元，攻击者借此将自身合约设置为提取质押奖励的目标地址。

从宏观数据来看，2026 年第一季度黑客从 34 种去中心化金融协议中窃取的总资金超过 1.68 亿美元，这一数字远低于 2025 年第一季度的 15.8 亿美元，当时发生了 Bybit 被黑客入侵等重大事件，表明虽然整体攻击规模有所收敛，但针对特定协议逻辑漏洞的精准打击依然构成重大风险。