-
El exploit no afectó al DOT nativo en el ecosistema Polkadot ni a los puentes alternativos.
-
El puente Hyperbridge entre ambas redes fue cerrado momentáneamente.
Un atacante explotó este 13 de abril una vulnerabilidad en el contrato inteligente del puente Hyperbridge que conecta la red Polkadot con Ethereum, permitiendo acuñar 1.000 millones de tokens DOT en Ethereum. Tras el ataque, el hacker pudo cambiar los DOT acuñados por 108 ethers (USD 237.000) antes de que el puente fuera cerrado.
El equipo de CertiK Alert explicó que el atacante reutilizó una prueba criptográfica de una transacción legítima anterior. En los sistemas de puentes entre cadenas, una prueba es una especie de certificado digital que demuestra que una operación ocurrió realmente en la cadena de origen.
El sistema utilizado por Hyperbridge contenía una falla que, en ciertas condiciones, aceptaba un comprobante de certificación viejo como válido para una operación completamente distinta, sin verificar que realmente correspondiera al mensaje que decía autenticar. Con la prueba falsa en mano, el atacante logró hacerse pasar por un administrador autorizado y tomó control del contrato del token DOT en Ethereum.
Hyperbridge es un protocolo que permite mover activos entre redes mediante un mecanismo que bloquea el activo en una cadena y lo emite en otra. En este caso, facilitaba la transferencia de DOT, el token nativo de Polkadot, hacia Ethereum.
Por otro lado, desde BlockSec, una compañía de análisis on-chain, precisaron que la función de verificación del contrato de Hyperbridge usaba un sistema de índices para organizar y verificar los mensajes, similar a una lista numerada.
La falla radicaba en que el contrato inteligente no comprobaba que la posición del mensaje fuera válida dentro de esa lista. Al enviar un valor específico que aprovechaba esa omisión, el sistema omitía la verificación del contenido real del mensaje, desvinculando por completo la prueba del mensaje que debía autenticar. “Esto permite a los atacantes falsificar mensajes entre cadenas aparentemente válidos”, señalaron desde BlockSec.
La ganancia del atacante fue significativamente menor que el valor nominal de los tokens acuñados. Aunque 1.000 millones de DOT a precio de mercado de USD 1,16 actualmente equivaldrían a más de USD 1.000 millones, el DOT movido a Ethereum a través de Hyperbridge tenía una liquidez muy baja en los pools de intercambio descentralizados.
Al vender todos los tokens en una sola operación, el precio se desplomó casi instantáneamente por el efecto del volumen sobre un pool pequeño, y el atacante solo pudo capturar el ETH que había disponible en ese momento: 108,2 ETH, equivalentes a aproximadamente USD 237.000.
Desde la cuenta oficial de Polkadot aclararon que el exploit afecta exclusivamente al DOT transferido hacia Ethereum a través de Hyperbridge, y no al DOT nativo en el ecosistema Polkadot ni al depositado en otros puentes alternativos: «Polkadot, sus parachains y el DOT nativo permanecen seguros y no afectados», comunicaron.
Finalmente, tras el exploit, desde la cuenta de X de Hyperbridge confirmaron que el puente entre Polkadot y Ethereum afectado permanece pausado sin fecha de reactivación confirmada, mientras que el resto de sus conexiones multiredes están operativas.
