Resumen
- Una vulnerabilidad en Hyperbridge resultó en la pérdida de aproximadamente $237,000 en Polkadot (DOT) trasladado a Ethereum.
- Un hacker accedió al contrato del token DOT bridged, permitiéndole acuñar 1 mil millones de tokens valorados en más de $1.1 mil millones.
- Posteriormente, vendió los tokens, obteniendo solo $237,000 debido a la baja liquidez.
Aprovechando una falla técnica en el puente de tokens Hyperbridge, se crearon artificialmente 1 mil millones de tokens de Polkadot (DOT), cuyo valor superaba los $1.1 mil millones. Sin embargo, las pérdidas reales son de aproximadamente $237,000, gracias a la limitada liquidez, como informó la empresa el lunes.
El protocolo, que permite a los usuarios transferir fondos entre distintas blockchains—como de Ethereum a Polkadot—aseguró que la explotación fue resultado de una vulnerabilidad en su lógica de verificación de pruebas. Hasta el momento, el actor malicioso no ha sido identificado.
“Esta falla permitió que pruebas inválidas fueran aceptadas incorrectamente como válidas”, indicó Hyperbridge en su cuenta de X. “Como resultado, se procesó un mensaje malicioso que otorgó al atacante control administrativo del contrato del token DOT bridged en Ethereum.”
Una vez que el atacante logró acceso al contrato del token DOT bridged, procedió a acuñar 1 mil millones de tokens, superando por aproximadamente 2,800 veces la oferta real de tokens DOT bridged. Para ponerlo en contexto, la oferta total de DOT no bridged es de solo 1.6 mil millones de tokens.
Este incidente se limitó únicamente al DOT bridged en Ethereum. Por lo tanto, el DOT nativo en la cadena de retransmisión de Polkadot, las parachains y otros activos a través de Hyperbridge permanecen completamente seguros y no afectados.
— Hyperbridge (@hyperbridge) 13 de abril de 2026
La empresa y el equipo detrás de la blockchain de Polkadot confirmaron que la explotación se limitó solo al DOT bridged en la blockchain de Ethereum.
Después de acuñar los tokens, el atacante los vendió directamente en intercambios descentralizados, logrando un beneficio de aproximadamente $237,000, que era la cantidad disponible en liquidez de comercio.
Si hubiera habido suficiente liquidez, alguien con alrededor de 1 mil millones de tokens DOT podría haber obtenido más de $1 mil millones, dado que el token se comercializa a alrededor de $1.17, con una caída del 4.6% en las últimas 24 horas.
En este momento, el precio de DOT ha caído más del 68% en el último año y está cerca del 98% con respecto a su máximo histórico de $54.98, alcanzado en noviembre de 2021. Actualmente, se encuentra apenas por encima de su mínimo histórico de $1.15, establecido en febrero.
La aplicación del protocolo está inactiva por mantenimiento mientras agrega «medidas de seguridad adicionales» y colabora con socios de seguridad en un esfuerzo por recuperar los fondos saqueados.
Los protocolos de puentes han sido el foco de múltiples exploits a lo largo de los años, entre los cuales se destaca el robo de $552 millones de Ronin Network en 2022, donde hackers atacaron su puente nativo hacia Ethereum. Este incidente permanece como uno de los mayores hackeos en la historia de las criptomonedas y fue vinculado por agencias del gobierno de EE. UU. al infame grupo de hackers patrocinados por el estado de Corea del Norte, Lazarus.
Este último exploit se suma a una creciente lista de preocupaciones sobre la seguridad de los protocolos DeFi, tras el reciente ataque al Drift Protocol de Solana, que perdió más de $285 millones el 1 de abril a manos de un hacker vinculado a Corea del Norte.