Bridge Polkadot: coniati $1B in DOT, persi $250K

Paragrafo introduttivo

Il 13 aprile 2026 un messaggio cross-chain contraffatto ha consentito a un attaccante di coniare ciò che è stato riportato essere approssimativamente $1,0 miliardo in token Polkadot (DOT) su Ethereum, convertendo però solo circa $237.000 in valore liquido prima che le tracce on-chain limitassero ulteriori vendite, secondo CoinDesk. L'exploit ha bypassato la validazione delle prove di stato nel contratto del bridge, concedendo all'attaccante il controllo amministrativo sul contratto dei DOT bridgati e permettendo un conio dell'intera fornitura sul lato Ethereum; CoinDesk ha registrato l'incidente lo stesso giorno (13 apr 2026). Sebbene la cifra in prima pagina — $1 miliardo — abbia attirato l'attenzione, la perdita realizzata è stata sostanzialmente più contenuta, con l'attaccante che ha estratto approssimativamente tra $237k e $250k di proventi, restituendo una frazione dell'esposizione apparente al protocollo. L'evento mette in luce vulnerabilità strutturali persistenti nella messaggistica cross-chain e nella logica di validazione degli oracle, e rafforza il motivo per cui le controparti istituzionali stanno rivalutando la custodia e il rischio di controparte dei bridge nell'infrastruttura decentralizzata. Questo rapporto esamina i punti dati, confronta l'episodio con precedenti fallimenti di bridge, valuta le implicazioni per il settore e offre una prospettiva di Fazen Capital su considerazioni operative e di allocazione prudenti.

Contesto

I bridge cross-chain sono diventati un punto di fragilità sistemica nell'infrastruttura crypto perché trasferiscono stato e autorizzazione tra modelli di sicurezza disparati. Il 13 apr 2026 il bridge Polkadot-verso-Ethereum non ha validato correttamente una prova di stato contraffatta, permettendo a un attaccante di chiamare funzioni amministrative sul contratto del token DOT bridgato su Ethereum e di coniare lì l'intera fornitura bridgata, secondo il sommario tecnico di CoinDesk. Il guasto è una questione di governance e di percorso di codice, non un difetto nel consenso core della relay chain di Polkadot; deriva da come il contratto del bridge interpreta e accetta messaggi cross-chain. Per i partecipanti istituzionali, l'incidente ricorda che i bridge operano come layer logici centralizzati con assunzioni implicite di fiducia e, pertanto, dovrebbero essere trattati come esposizioni verso controparti piuttosto che come puri primitivi crittografici.

Storicamente, gli exploit ai bridge hanno generato titoli sproporzionati rispetto alle perdite realizzate a causa dei grandi volumi nominali di token coinvolti; questo caso segue quel modello. Nel 2022 il bridge Wormhole ha perso circa $320 milioni in un exploit con validazione (fonti multiple, feb 2022), e il bridge Ronin ha subito un exploit di circa $625 milioni nel marzo 2022 (fonti multiple, mar 2022). Rispetto a quegli eventi, l'incidente del bridge Polkadot si distingue per la discrepanza tra il valore nominale coniato ($1,0 miliardo) e il furto realizzato (~$237k), sottolineando come la liquidità di mercato e il rapido rilevamento possano limitare i proventi convertiti anche quando il conio a livello di contratto appare catastrofico.

Per i framework di rischio istituzionale, l'incidente sottolinea due punti pratici: le metriche di valutazione basate sui saldi nominali di token cross-chain sono insufficienti, e le finestre di risposta per fermare la convertibilità sono critiche. Exchange e custodi spesso trattano i token bridgati come equivalenti agli asset nativi per regolamento e marginazione, ma operativamente essi sono condizionati all'integrità del bridge. Di conseguenza, la due diligence deve ora incorporare audit specifici dei bridge, l'efficacia dei programmi di ricompensa (bug bounty) e simulazioni dei tempi di risposta per bloccare prelievi o trading in caso di attività di conio anomale.

Analisi dei dati

I punti dati chiave dell'incidente forniscono informazioni sul vettore d'attacco e sull'impatto di mercato. CoinDesk ha riportato l'exploit il 13 apr 2026, notando che l'attaccante ha coniato circa $1 miliardo in token DOT bridgati su Ethereum ma ha convertito solo $237.000 prima che le interventi limitassero ulteriori vendite (CoinDesk, 13 apr 2026). Il conio è stato possibile perché un messaggio cross-chain contraffatto ha bypassato la validazione della prova di stato del bridge, concedendo di fatto privilegi amministrativi all'attaccante sul contratto wrapper ERC-20 per DOT su Ethereum. Quella singola vulnerabilità ha permesso a un attaccante di manipolare l'offerta sull'istanza Ethereum dei DOT senza alterare i saldi nativi dei DOT sulla relay chain di Polkadot.

Le metriche di liquidità spiegano perché la perdita economica è stata contenuta: il mercato per i DOT bridgati su Ethereum mostrava una profondità limitata rispetto al noto valore coniato, e il monitoraggio automatico ha segnalato rapidamente la pressione di vendita anomala. L'attaccante ha tentato di vendere in presenza di bassa liquidità, lo slippage (scostamento di prezzo) è aumentato e i prezzi sui feed degli exchange decentralizzati (DEX) hanno riflesso il disordine, rendendo le vendite su larga scala anti-economiche. Empiricamente, quando gli attaccanti si scontrano con bassa liquidità spesso ricorrono a riciclaggio on-chain tramite molteplici swap e router, ma in questo caso le tracce delle transazioni indicano un volume di conversione relativamente contenuto (circa $237k), coerente con un rapido rilevamento e una mitigazione parziale da parte di nodi e servizi di monitoraggio.

Confrontare i proventi realizzati con gli incidenti passati evidenzia quanto la struttura di mercato conti tanto quanto le vulnerabilità del codice. L'exploit di Ronin nel marzo 2022 ha realizzato circa $625 milioni prima delle azioni di recupero, mentre l'exploit di Wormhole nel febbraio 2022 ha realizzato ~ $320 milioni; entrambi si sono verificati in periodi in cui la liquidità e le opzioni di mixing erano più permissive. L'evento del bridge Polkadot mostra che il rilevamento rapido, un migliore coordinamento con gli exchange e la tracciabilità pubblica sono sempre più efficaci nel ridurre le perdite realizzate anche quando il conio contrattuale appare estremo. Per le istituzioni, la conclusione è che le cifre peggiori storiche restano rilevanti, ma la distribuzione di probabilità delle perdite convertite sta evolvendo grazie a tool migliori e a una sorveglianza di mercato più efficace.

Implicazioni per il settore

L'implicazione immediata per il settore è un rinnovato focus sul design dei bridge e sulla classificazione degli asset bridgati nei processi istituzionali. I gestori di asset e i custodi probabilmente tratteranno i token bridgati come classi di asset distinte per la valutazione del rischio di controparte, applicando haircut più elevati o limiti operativi alle esposizioni bridgate. Gli exchange potrebbero int