El atacante acuña mil millones de dólares en tokens Polkadot en Ethereum y termina robando solo 250.000 dólares
Los hackeos de criptomonedas no son nada nuevo, pero los casos en los que los atacantes toman grandes riesgos y se llevan maníes no son comunes. Ese raro escenario se desarrolló el domingo.
Un atacante aprovechó una vulnerabilidad en la puerta de enlace entre cadenas de Hyperbridge que conecta diferentes cadenas de bloques, acuñando mil millones de tokens Polkadot (1,19 mil millones de dólares) en Ethereum y vendiéndolos por aproximadamente 237,000 dólares en ether.
El exploit se suma a una lista cada vez mayor de vulnerabilidades de puentes en 2026. El mes pasado se produjo un drenaje del protocolo Drift de 270 millones de dólares en Solana, mientras que un ataque de ingeniería social, en lugar de un exploit de código, involucró de manera similar una infraestructura comprometida.
El exploit del domingo tuvo como objetivo el contrato puente, no la red central de Polkadot. El token nativo de Polkadot, $DOT, no se vio afectado. La vulnerabilidad se encontraba en la forma en que el contrato EthereumHost de Hyperbridge valida los mensajes entrantes entre cadenas antes de pasarlos a TokenGateway.
Los puentes, que ayudan a mover monedas de una cadena de bloques a otra, siguen siendo el eslabón más débil en la arquitectura entre cadenas porque tienen control a nivel de administrador sobre los contratos de tokens en las cadenas de destino, lo que significa que una sola falla de validación puede otorgar a un atacante la capacidad de generar un suministro ilimitado.
Así se desarrolló el ataque
Los rastros en cadena muestran que el atacante envió un mensaje falsificado a través de despachoIncoming, que fue enrutado a TokenGateway.onAccept.
La verificación de recibos de solicitud, que debería haber verificado el mensaje con un compromiso de estado entre cadenas válido de Polkadot, almacenó un valor de compromiso de todos ceros, lo que sugiere que la validación de prueba estaba ausente o era evitable para esta ruta de llamada específica. La puerta de enlace procesó el mensaje como legítimo.
El mensaje aceptado ejecutó changeAdmin en el contrato de token de Polkadot puenteado, transfiriendo derechos de administrador a la dirección del atacante. Con control administrativo, el atacante acuñó mil millones de tokens en una sola transacción y los enruta a través del Odos Router V3 a un grupo Uniswap V4 $DOT-$ETH, extrayendo aproximadamente 108,2 $ETH a través de lo que parecen ser múltiples swaps a precios ligeramente diferentes.
La liquidez jugó en contra del atacante
La débil liquidez/profundidad, o la capacidad del mercado para absorber grandes pedidos a precios estables, suele ser un problema importante para las ballenas. Pero, en este caso, funcionó en contra del atacante, limitando sus ganancias.
El fondo puente de $DOT en Ethereum tenía una profundidad limitada, lo que significa que mil millones de tokens abrumaron la liquidez disponible y el atacante recibió una fracción de un centavo por token.
En un fondo común más profundo o en un activo puente de mayor valor, la misma vulnerabilidad habría producido pérdidas significativamente mayores. $DOT cotiza poco menos de $1,20 a partir de las horas de la mañana asiática del lunes.
CertiK marcó el exploit, confirmando que el vector de ataque era el contrato de puerta de enlace de Hyperbridge y que el atacante obtuvo aproximadamente 237.000 dólares de la acuñación y venta de los tokens puenteados.
Hyperbridge no ha comentado públicamente sobre el exploit ni ha revelado si otros contratos de tokens puenteados que utilizan la misma puerta de enlace son vulnerables al mismo vector de ataque de mensajes falsificados.