Vulnerabilidad en Hyperbridge permitió crear mil millones de tokens falsos de DOT en Ethereum
Un atacante aprovechó un fallo en el contrato del puente cruzado Hyperbridge entre Polkadot y Ethereum, acuñando mil millones de tokens DOT falsos y obteniendo una ganancia de 237.000 dólares. El incidente no afectó a la red principal de Polkadot, pero provocó restricciones temporales en importantes exchanges de criptomonedas.
Cómo se explotó la vulnerabilidad
Un error en el contrato inteligente del gateway permitió al atacante falsificar mensajes internos, obteniendo acceso a funciones administrativas del token DOT en Ethereum. Una vez con control, el hacker acuñó mil millones de tokens falsos diseñados para imitar activos transferidos desde Polkadot. Estos tokens fueron vendidos inmediatamente en exchanges descentralizados, haciendo colapsar su precio de 1,22 dólares a casi cero.
Un análisis de Onchain Lens reveló la secuencia del ataque: primero, la propiedad del contrato fue transferida a la dirección del atacante, seguida de la acuñación masiva y liquidación de los tokens. Este es un escenario clásico de explotación en DeFi, donde la validación insuficiente de mensajes cruzados genera vulnerabilidades críticas.
Impacto en el mercado y usuarios
Aunque la cadena principal de Polkadot no se vio afectada, el precio de DOT bajó un 4 % —de 1,22 a 1,18 dólares— debido al pánico en el mercado. Plataformas surcoreanas como Upbit y Bithumb suspendieron temporalmente depósitos y retiros de DOT como medida preventiva. Hyperbridge ha sido desactivado por completo, y el equipo de Polkadot lleva a cabo una investigación junto con expertos externos en seguridad.
Ganancia del atacante: ~237.000 USD
Tokens acuñados: 1000 millones de DOT
Caída del precio de DOT: 4 %
Exchanges afectados: Upbit, Bithumb
Contexto de seguridad en puentes cruzados
Puentes como Hyperbridge resuelven la interoperabilidad entre blockchains al permitir transferencias de activos entre redes aisladas. Sin embargo, son objetivos frecuentes debido a la complejidad de verificar transacciones cruzadas. Según CertiK, estas vulnerabilidades suelen originarse en un manejo defectuoso de mensajes, lo que lleva a emisiones no autorizadas de tokens.
En los últimos años han ocurrido varios incidentes destacados: en 2022, el puente Ronin perdió 625 millones de dólares; Wormhole sufrió una brecha de 325 millones. Estos eventos minan la confianza en DeFi y aumentan la demanda de protocolos más seguros, como sistemas multi-firma y pruebas de conocimiento cero.
Conclusiones clave
- La explotación se limitó al DOT basado en Ethereum a través de Hyperbridge; la red principal de Polkadot sigue siendo segura.
- Auditores de CertiK identificaron mensajes del sistema falsificados como causa raíz.
- La ganancia de 237.000 dólares del hacker subraya los riesgos que incluso las vulnerabilidades localizadas pueden representar.
- Los exchanges Upbit y Bithumb impusieron restricciones para proteger a sus usuarios.
- El incidente acelera mejoras generalizadas en la seguridad de los puentes.
Impacto en la industria y perspectivas futuras
Este evento pone de relieve la necesidad de auditorías rigurosas en puentes que conectan ecosistemas como Polkadot y Ethereum. Los desarrolladores ahora priorizan validadores descentralizados y límites máximos estrictos en la emisión de tokens. Para los usuarios, es fundamental seguir anuncios oficiales y evitar soluciones de puente no verificadas.
A largo plazo, estas violaciones impulsan la innovación: Polkadot está mejorando su protocolo XCM para lograr una comunicación cruzada más segura. Las pérdidas totales por ataques a puentes ya superan los 2.000 millones de dólares desde 2021, lo que ha llevado a los protocolos a destinar entre el 1 % y el 2 % de su TVL a inversiones en seguridad.
— Editorial Team
Aún no hay comentarios.