Un milliard de DOT créés en fraude
Le 16 juin 2026, le protocole Hyperbridge a subi une attaque d’une ampleur inédite dans l’écosystème Polkadot.
L’attaque s’est concentrée sur le contrat EthereumHost du bridge Hyperbridge. Ce dernier valide les transferts entre blockchains, mais souffrait d’une vérification insuffisante des messages cross-chain. L’attaquant a ainsi pu obtenir les droits d’administration sur le contrat du token DOT bridgé et procéder à la création massive de jetons sans couverture réelle.
L’arnaque rapporte moins que prévu
Malgré la somme astronomique générée en apparence, le préjudice financier réel reste très limité. Le hacker n’a pu convertir qu’environ 237 000 dollars de ces nouveaux tokens en ether (ETH), soit près de 108,2 ETH au moment de l’incident. Le pool de liquidité du DOT bridgé sur Ethereum était faible : cela a empêché l’attaquant d’écouler massivement ses jetons sans faire chuter leur valeur à zéro.
En définitive, l’opération n’a permis au pirate de repartir qu’avec une fraction infime du montant théorique minté.
CertiK, société spécialisée dans la sécurité blockchain, a confirmé que la faille provenait bien du contrat Hyperbridge gateway et que le profit net ne dépassait pas les 250 000 dollars. Ce contraste saisissant entre la somme affichée et le gain réel souligne la fragilité des pools secondaires face aux attaques sophistiquées.
Voir Aussi
Les exchanges coréens réagissent aussitôt
Face à l’incertitude provoquée par l’incident, deux grandes plateformes sud-coréennes ont réagi immédiatement. Upbit et Bithumb ont suspendu temporairement les dépôts et retraits de DOT dès qu’elles ont détecté des signes d’un incident de sécurité lié au token. Cette mesure visait à éviter tout risque de propagation ou d’exploitation secondaire du bug sur leurs systèmes internes.
Ces suspensions n’ont toutefois pas duré : dès confirmation que le réseau principal Polkadot n’était pas touché et que seuls les tokens bridgés étaient concernés, les échanges ont pu rassurer leurs utilisateurs. Chez theblock.co on note que cette réaction rapide a permis de contenir toute panique potentielle sur les marchés locaux, alors que le volume quotidien du DOT reste significatif en Corée du Sud.
Pourquoi la perte reste limitée
L’épisode met en lumière un paradoxe fréquent dans les attaques DeFi : générer des milliards en tokens ne garantit pas un profit équivalent si la liquidité fait défaut. Ici, malgré un mint massif, l’attaquant s’est retrouvé bloqué par le manque d’acheteurs ou d’arbitrage sur Ethereum pour ces DOT bridgés nouvellement créés. La structure même du pool — peu profond — a joué un rôle crucial dans la limitation des pertes réelles.
Le principal enseignement pour l’industrie réside donc moins dans l’ampleur théorique de l’attaque que dans sa matérialisation effective : seuls quelques centaines de milliers de dollars se sont effectivement envolés. Les développeurs devront néanmoins renforcer les contrôles sur les contrats cross-chain pour éviter toute répétition d’un tel scénario.
À ce stade, rien n’indique que d’autres bridges majeurs soient exposés à une faille similaire ; cependant, la prudence reste de mise tant que tous les audits ne sont pas achevés.
Le vrai Polkadot reste intact
Aucun impact direct n’a été observé sur le réseau principal ni sur le token natif DOT après cette attaque ciblée contre Hyperbridge.
Les éléments à suivre dans les prochains jours
La reprise des dépôts et retraits de DOT sur Upbit et Bithumb, toujours suspendus après l’attaque du 16 juin 2026, reste incertaine ; si ces plateformes lèvent la suspension, les flux de DOT bridgé sur Ethereum pourront être observés immédiatement.
