2026 年 4 月 13 日，连接 Polkadot 与 Ethereum 的 Hyperbridge 跨链网关遭遇严重安全事件，攻击者利用合约漏洞获取了 Ethereum 上 DOT 代币合约的管理员权限，并将控制权转移至恶意地址。通过伪造网关消息授权新代币发行，攻击者成功制造出 10 亿枚 DOT 并立即将其抛售至现有流动性池中。

此次攻击发生的时间点极具破坏性，因为在 2026 年 3 月，即攻击发生前六周，Polkadot 社区刚刚通过治理机制将 DOT 的总供应量上限设定为 21 亿枚，旨在通过人为稀缺性提升货币价值，而当时 DOT 也刚刚在 Nasdaq 上市了首只 ETF。根据 Yahoo Finance 的数据，单次攻击所创造的代币数量竟达到了整个供应上限的 48%，这意味着本应强化稀缺性的治理决策被运行在不同基础设施上的跨链合约完全绕过。

尽管 Polkadot 的原生中继链未受波及，原生链上的供应上限依然有效，但此次攻击专门针对 DOT 在 Ethereum 上的跨链表现形式，对于持有这些跨链资产的用户而言，这种技术层面的区别已无实际意义。安全公司 PeckShield 和 CertiK 已介入追踪攻击者获得的 108.2 ETH 流向，Upbit 交易所更是史无前例地立即暂停了所有 DOT 的存取业务，这一举动表明市场普遍认为跨链资产已受到实质性威胁。

目前各方正全力隔离受影响的 Hyperbridge 合约以防止进一步损失，用户也被警告在新的安全合约部署前避免与 Ethereum 上的跨链 DOT 进行任何交互，截至发稿时 Web3 基金会和 Hyperbridge 团队尚未发布正式声明。

攻击的具体机制揭示了市场流动性的真实面貌，攻击者利用旧的价格计算方式发行了名义价值约 11 亿美元的代币，最终仅兑换到 108.2 ETH，约合 237,000 美元。这两个数字之间的巨大差距并非执行误差，而是 Ethereum 上跨链 DOT 实际流动性的真实体现，攻击者投入流动性池的资金总量恰好为 237,000 美元。

那些名义上价值 11 亿美元的代币在被大量抛售后价格迅速归零，证明其真实市场深度仅为 237,000 美元，所有高于此数值的部分均建立在可兑换原生 DOT 的假设之上，属于虚假价值。据午方 AI 监测显示，这种现象揭示了跨链资产定价中普遍存在的流动性幻觉，一旦兑换假设被打破，虚假价值便会瞬间蒸发。

如果这些虚假价值从未得到真实流动性的支撑，那么补偿受害者就意味着要填补那些从未存在的价值缺口，即便社区有意愿，财政部门也无法完成这一任务。那些刚刚投票支持货币稀缺性政策的社区成员，现在不得不面对增加 48% 供应量以弥补跨链漏洞的矛盾局面，这种逻辑冲突使得任何补偿方案都难以圆满解决。

目前 Polkadot 财政部门手中持有约 4400 万 DOT，而此次攻击涉及的代币数量高达 10 亿，是财政持有量的 22 倍多，因此通过常规财政支出进行全额补偿在数学上已不可能实现。

任何有意义的补偿方案要么需要发行新代币从而直接违背六周前制定的供应上限原则，要么需要采取前所未有的协议级干预措施。若最终提出补偿方案，必须经过 Polkadot 链上治理系统 OpenGov 的审批，该流程包含数天的准备期、持有者锁定代币以增强投票权重的环节以及资金拨付前的延迟程序。

这种治理机制原本是为深思熟虑的决策设计的，而非用于应对如此规模的紧急危机，因此最可能的结果并非全额补偿，而是仅针对受影响最严重的流动性提供者进行部分补偿。

补偿资金可能来自社区批准的各种财政分配方案，这种方式旨在避免引发关于通货膨胀的争议，同时还将针对构建和维护被攻击合约的 Hyperbridge 团队展开单独的问责程序。事实上，造成此次漏洞的根源并非 Polkadot 的治理系统，而是跨链桥接机制本身，这一点在社区制定任何补偿方案时都将被充分考虑。

供应上限在此次攻击中依然有效，但那个跨链桥接机制已经失效，而财政部门无法弥补这一结构性差距，这标志着跨链互操作性在追求效率的同时所面临的深层安全悖论。