Las pérdidas por pirateo del puente Polkadot-Ethereum fueron 10 veces peores de lo informado, admite el equipo
En breve
El exploit de Hyperbridge fue aproximadamente 10 veces peor de lo que se temía originalmente, con pérdidas estimadas ahora en alrededor de 2,5 millones de dólares.
El protocolo informó originalmente que solo se habían explotado 237.000 dólares en fondos a principios de esta semana.
Se ha rastreado la mayor parte de los fondos robados y la empresa está trabajando con las autoridades con la esperanza de congelar y recuperar activos.
Un exploit que llevó a la acuñación de mil millones de tokens Polkadot ($DOT) envueltos a principios de esta semana es incluso peor de lo que se informó originalmente, según el equipo detrás de Hyperbridge.
Lo que originalmente se pensó que equivalía a 237.000 dólares en pérdidas simbólicas relacionadas con el puente Polkadot-Ethereum está en realidad más cerca de 2,5 millones de dólares, un aumento de más de 10 veces con respecto al informe inicial.
"Un atacante aprovechó una vulnerabilidad en la lógica de verificación de prueba de Merkle Mountain Range (MMR), lo que permitió al culpable acuñar activos y drenar activos en custodia en Token Gateway", publicó el equipo en una autopsia del jueves.
El atacante extrajo aproximadamente 245 $ETH de un contrato TokenGateway relacionado.
Aproximadamente una hora más tarde, un mensaje falsificado entre cadenas pasó por alto la verificación de prueba de MMR, lo que permitió al atacante acuñar mil millones de dólares DOT puenteados y arrojarlos a una liquidez escasa.
– Hyperbridge (@hyperbridge) 16 de abril de 2026
"Nuestra estimación pública inicial de la pérdida realizada fue de aproximadamente $237,000, basada en la liquidación inmediatamente observable de $DOT puente en Ethereum", agregaron. “Más tarde supimos que esa cifra no reflejaba la imagen completa”.
Además de los $237,000 en pérdidas observables, se explotó un contrato inteligente por 245 $ETH o alrededor de $561,000 horas antes de las acuñaciones maliciosas de tokens $DOT. Además, tres cadenas de bloques conectadas (Base, Arbitrum y BNB Chain) también se vieron afectadas, lo que contradice el informe original del equipo que solo se vio afectado el $DOT en Ethereum.
"Tras la conciliación de la actividad del atacante en cada una de las cuatro cadenas, la naturaleza de dos fases del ataque y las pérdidas de los grupos de incentivos asociados, la pérdida total revisada realizada es de aproximadamente $2,5 millones, denominada en $ETH y $DOT en el momento del exploit", escribió.
Los fondos robados han sido rastreados hasta una dirección de depósito en Binance, y la empresa ha contratado al equipo de cumplimiento del intercambio centralizado y a las autoridades pertinentes en un intento de congelar y recuperar los activos robados, pero no espera una resolución pronto.
"Estamos siguiendo todos los canales disponibles, pero el cronograma realista para una recuperación significativa en un caso de este tipo se mide en meses y puede extenderse hasta un año", añadió.
Si bien su objetivo es compensar a todos los usuarios afectados, reembolsando los fondos que se han visto comprometidos, el protocolo indicó que está "comprometido con una asignación estructurada de tokens BRIDGE para cubrir la pérdida residual", en caso de que no pueda hacerlo.
Pero BRIDGE, su token de protocolo nativo, mantiene volúmenes extremadamente bajos, cotizando por última vez $1,800 en 24 horas cuando cambió de manos por alrededor de $0,006 el 29 de marzo, según datos de CoinGecko. A ese precio, el token tenía una capitalización de mercado de alrededor de 858.000 dólares, aproximadamente un tercio de las pérdidas totales de su exploit.
La funcionalidad de puente en las cuatro cadenas de bloques afectadas permanece en pausa y solo se reanudará después de que se implemente y audite un parche.
"Esto no cambia nuestra convicción de que la interoperabilidad entre cadenas sólo es segura a través de pruebas criptográficas", escribió el equipo de protocolo.
"Lo que este exploit ha dejado claro, a un coste elevado, es que la lógica de verificación necesita auditorías más frecuentes y pruebas adversas en cada capa de la pila", añadió. "Ese es el estándar con el que Token Gateway funcionará en el futuro".