Ein Hacker nutzte eine Schwachstelle in der Hyperbridge-Infrastruktur zwischen Polkadot und Ethereum aus und mintete Token im nominellen Gegenwert von über einer Milliarde Dollar – realisieren konnte er davon jedoch nur einen Bruchteil. Der Vorfall offenbart strukturelle Risiken dezentraler Bridge-Protokolle, die weit über diesen Einzelfall hinausreichen.
Angriff auf Polkadot-Bridge: Hacker mintete Token im Wert von 1,1 Milliarden Dollar – konnte jedoch kaum Kapital abziehen
Ein Angreifer hat eine Sicherheitslücke in der Hyperbridge-Infrastruktur zwischen dem Polkadot- und dem Ethereum-Netzwerk ausgenutzt und dabei DOT-Token im nominellen Gegenwert von rund 1,1 Milliarden US-Dollar neu generiert. Aufgrund der unmittelbaren Marktreaktion und der Liquiditätsgrenzen dezentraler Börsen konnte der Hacker letztlich nur etwa 237.000 US-Dollar tatsächlich realisieren. Der Vorfall verdeutlicht strukturelle Risiken in der DeFi-Infrastruktur, die auch für Unternehmen mit Blockchain-Exposition relevant sind.
Technischer Hintergrund: Wie die Attacke ablief
Bei dem Angriff wurde eine Schwachstelle in der Cross-Chain-Bridge ausgenutzt, die Transaktionen zwischen dem Polkadot- und dem Ethereum-Ökosystem ermöglicht. Solche Bridges fungieren als Vermittlungsschicht: Sie akzeptieren Token auf einer Blockchain und geben entsprechend gesicherte Äquivalente auf einer anderen aus.
Der Angreifer manipulierte diesen Verifizierungsprozess so, dass das Protokoll die Ausgabe einer massiven Menge an DOT-Token autorisierte, ohne dass eine entsprechende Einzahlung auf der Gegenseite stattgefunden hatte.
Das eigentliche Schadensausmaß blieb jedoch begrenzt. Da die neu geminteten Token das Gesamtangebot auf dem Markt schlagartig erhöhten, brach der Kurs des Vermögenswerts entsprechend ein. Hinzu kommt, dass Liquiditätspools auf dezentralen Börsen nur begrenzte Kaufaufträge absorbieren können, bevor der Preis weiter kollabiert.
Ein nomineller Schaden von über einer Milliarde Dollar – ein tatsächlicher Abfluss von weniger als einem Viertel einer Million.
Strukturelles Problem: Bridges als Schwachstelle im DeFi-Ökosystem
Cross-Chain-Bridges gehören zu den wiederholt angegriffenen Komponenten im DeFi-Ökosystem. Allein in den vergangenen Jahren summierten sich Verluste durch Bridge-Exploits auf mehrere Milliarden Dollar:
- Ronin-Bridge-Hack (2022): rund 625 Millionen US-Dollar
- Wurmloch-Hack (2022): rund 320 Millionen US-Dollar
Die Ursache liegt in der technischen Komplexität: Bridges müssen Zustandsinformationen zwischen zwei voneinander unabhängigen Blockchain-Netzwerken synchronisieren, was eine erhebliche Angriffsfläche schafft.
Hyperbridge, das von der Polytope-Labs-Community entwickelt wurde, setzt auf einen kryptografisch gesicherten Ansatz zur Zustandsverifikation. Dennoch konnte der Angriff stattfinden – ein Hinweis darauf, dass auch konzeptionell ambitionierte Implementierungen in der Praxis Lücken aufweisen können.
Liquidität als unfreiwilliger Schutzwall
Der Vorfall hat eine bemerkenswerte Eigenschaft dezentraler Märkte sichtbar gemacht: Extreme Marktmanipulationen scheitern mitunter an ihrer eigenen Größe.
Ein Angreifer, der Token in solch einem Umfang mintiert, kann diese nicht diskret liquidieren, ohne den Marktpreis in den Keller zu treiben.
Zentralisierte Börsen, die eine KYC-Prüfung verlangen, stehen für eine schnelle Monetarisierung ohnehin nicht zur Verfügung. Dieser Effekt wirkt wie ein unbeabsichtigter Schutzmechanismus, der den realen Schaden begrenzt – er bietet jedoch keine verlässliche Sicherheitsgarantie für die Zukunft.
Einordnung für deutsche Unternehmen
Für Unternehmen, die Blockchain-Infrastruktur für Zahlungsabwicklung, tokenisierte Assets oder Supply-Chain-Anwendungen evaluieren oder bereits einsetzen, bleibt die Sicherheit von Bridge-Protokollen ein zentrales Risikothema.
Die praktische Schadensbegrenzung in diesem Fall war kein Resultat präventiver Sicherheitsmaßnahmen, sondern marktstruktureller Zufälligkeiten.
Konkrete Handlungsempfehlungen:
- Bridge-Sicherheit explizit in Risikoanalysen einbeziehen
- Audit-Nachweise unabhängiger Sicherheitsfirmen einfordern
- Exposure-Limits für einzelne Protokolle definieren
Die Regulierungsvorhaben im Rahmen von MiCA adressieren solche Infrastrukturrisiken bislang nur unvollständig – Unternehmen sollten nicht auf regulatorische Vorgaben warten, sondern eigenständig vorsorgen.
Quelle: Decrypt – Crypto Hacker Mints Billion on Polkadot-Ethereum Bridge, Cashes Out $237K