🔴 hack

Hyperbridge hacké : les pertes explosent à 2,5 millions de dollars

Un exploit sur le bridge Polkadot-Ethereum révèle des pertes 10x supérieures aux premières estimations : 2,5 millions de dollars volés sur quatre blockchains.
📅 jeudi 16 avril 2026 ⏱ 2 min de lecture · 27 vues
Hyperbridge hacké : les pertes explosent à 2,5 millions de dollars

Ce qu'on croyait être un incident mineur est en réalité un désastre. Hyperbridge, le bridge entre Polkadot et Ethereum, vient de revoir drastiquement à la hausse l'évaluation des dommages causés par l'exploit survenu cette semaine. On parlait de 237 000 dollars. On parle maintenant de 2,5 millions de dollars. Soit une multiplication par plus de 10.

L'attaque s'est déroulée en deux phases distinctes. D'abord, l'attaquant a exploité une faille dans la logique de vérification des preuves Merkle Mountain Range (MMR) pour siphonner 245 ETH, soit environ 561 000 dollars, depuis un contrat TokenGateway. Ensuite, environ une heure plus tard, un faux message cross-chain a contourné cette même vérification, permettant de minter 1 milliard de DOT bridgés et de les vendre immédiatement dans une liquidité quasi inexistante.

Le premier bilan public ne tenait compte que de la vente de DOT observable sur Ethereum. Il manquait l'essentiel : le vol d'ETH en amont, et surtout l'impact sur trois autres chaînes — Base, Arbitrum et BNB Chain. Quatre blockchains touchées, pas une seule comme annoncé initialement. Le protocol en convient lui-même : "Ce chiffre ne reflétait pas l'image complète."

Les fonds volés ont été tracés jusqu'à une adresse de dépôt sur Binance. L'équipe a contacté le service de conformité de l'exchange et les autorités compétentes pour tenter de geler les actifs. Mais elle tempère les attentes : "Le calendrier réaliste pour une récupération significative se mesure en mois, et peut s'étendre jusqu'à un an."

Si la récupération échoue, Hyperbridge promet d'indemniser les utilisateurs via une allocation de son token natif BRIDGE. Problème : ce token s'échangeait autour de 0,006 dollar fin mars, pour une capitalisation d'environ 858 000 dollars. Soit environ un tiers des pertes totales. Rembourser 2,5 millions avec un token qui vaut moins que les dégâts qu'il est censé couvrir, c'est une promesse qui ressemble davantage à un vœu pieux.

Les fonctionnalités de bridge restent suspendues sur les quatre chaînes concernées, en attendant un correctif audité. L'équipe maintient sa conviction que l'interopérabilité cross-chain est sécurisable par des preuves cryptographiques — mais admet que la logique de vérification nécessitait des audits plus fréquents et des tests adversariaux à chaque couche du protocole. Un aveu tardif et coûteux.

Ce que ça change : les bridges DeFi restent le maillon faible de l'écosystème crypto. Promettre une indemnisation via un token illiquide dont la market cap ne couvre même pas les pertes, c'est exactement le genre de réponse qui érode durablement la confiance des utilisateurs. Avant de bridger des actifs, vérifiez toujours si le protocol derrière peut réellement payer en cas de problème.

A lire aussi
Hack Drift Protocol : Circle au tribunal pour 280M$ de USDC volés
hack
Hack Drift Protocol : Circle au tribunal pour 280M$ de USDC volés
 Grinex hacké : 13M$ envolés, la Russie crie à l'espionnage
hack
Grinex hacké : 13M$ envolés, la Russie crie à l'espionnage
 Drift hack : Circle incapable de geler les fonds, Tether prend sa place
hack
Drift hack : Circle incapable de geler les fonds, Tether prend sa place