Los hackers robaron $237,000 en el exploit de Bridged-Polkadot después de acuñar 1 mil millones de DOT y convertirlos en 108 ETH

Los hackers explotaron una vulnerabilidad en el contrato de puerta de enlace Ethereum del puente entre cadenas Hyperbridge hoy temprano, acuñando 1 mil millones de tokens Polkadot (DOT) envueltos no autorizados y cambiándolos por aproximadamente 108.2 ETH, con un valor de al menos $237,000 en una sola transacción.
El ataque, que ocurrió alrededor de las 3:55 a.m. UTC, se dirigió únicamente a los activos DOT puenteados en Ethereum y dejó intactos la blockchain nativa de Polkadot, las parachains, el staking y la gobernanza. Hyperbridge, un protocolo de interoperabilidad basado en Polkadot que conecta activos entre cadenas utilizando su Protocolo de Máquina de Estado de Interoperabilidad (ISMP), confirmó la brecha en una publicación en X poco después de ser detectada. "Un exploit afectó uno de nuestros contratos de Ethereum", declaró el equipo. "Hemos pausado todos los puentes y aconsejado a los socios que detengan las transacciones relacionadas mientras el equipo contiene el problema."

La cuenta oficial de Polkadot repitió la tranquilidad horas después. "Estamos al tanto de un problema que afecta al contrato de puerta de enlace Ethereum de @hyperbridge," publicó.

"El exploit solo afecta a DOT en Ethereum que está puenteado a través de Hyperbridge y no afecta a DOT en el ecosistema Polkadot o DOT puenteado a través de otros puentes. Polkadot, sus parachains y DOT nativo permanecen seguros y no afectados."

La mecánica del exploit de Bridged-Polkadot

​Verificado por analistas on-chain y empresas de seguridad, incluida CertiK, el exploit se ejecutó en el bloque 24,868,295 mediante el hash de transacción 0x240a…1109. La billetera del atacante (0xC513…F8E7), una dirección de 33 días de antigüedad, desplegó un subcontrato malicioso y presentó pruebas de consenso Polkadot falsificadas a través del contrato HandlerV1.

Los investigadores de seguridad rastrearon la causa raíz a un trío de fallas críticas. Primero, el período de desafío del puente se estableció en cero, eliminando cualquier ventana de disputa y permitiendo que el compromiso de estado falsificado se aceptara instantáneamente. Segundo, hubo validación insuficiente en la función de verificación de pruebas del contrato HandlerV1. Finalmente, el contrato del cliente de consenso (0xA0Ad…669a) carecía de verificación pública del código fuente. Preparándose durante meses, el atacante financió exitosamente la billetera a través de herramientas de privacidad, incluidos los pools protegidos zk de Railgun y Synapse Bridge, realizando implementaciones de prueba en un estado activo antes del ataque.

Una vez en control, el atacante cambió el administrador del contrato de token DOT puenteado (0x8d01…90b8) y acuñó los 1 mil millones de tokens completos. El suministro falso luego fue enrutado a través de routers de intercambio descentralizados, incluido Uniswap V4, drenando los pools de liquidez disponibles. El intercambio generó 108.2 ETH antes de que los bots MEV replicaran partes del exploit en otros activos envueltos de Hyperbridge como ARGN, MANTA y CERE. Las pérdidas totales realizadas en el incidente se estiman en $250,000 al incluir las extracciones secundarias, aunque el botín principal permaneció limitado por la baja liquidez.

También lee: World Liberty Financial (WLFI) vinculado a Trump demandará a Justin Sun en una disputa DeFi de $75 millones
El incidente desencadenó reacciones inmediatas del mercado. Los precios del DOT puenteado en los pools afectados colapsaron de aproximadamente $1.22 a casi cero. Los exchanges surcoreanos Upbit y Bithumb pausaron los depósitos y retiros de DOT como precaución. Las posiciones apalancadas vieron más de $728,000 en liquidaciones, y la liquidez DeFi más amplia vinculada a los activos envueltos de Hyperbridge experimentó interrupciones temporales, eliminando alrededor de $20 millones en valor nocional de los pools.
Hyperbridge impulsa múltiples tokens ERC-6160 de las parachains de Polkadot, haciendo de la puerta de enlace un punto de falla compartido para varios activos puenteados. El contrato EthereumHost fue posteriormente congelado completamente para evitar más daños. Al momento de presentar este informe, se observó que los fondos del atacante se movían a través de retiros adicionales de Railgun en incrementos de 15 ETH hacia billeteras de salida nuevas, sin que se detectaran grandes salidas de puentes aún.

Esto marca lo más reciente en una serie de exploits relacionados con puentes que han plagado las finanzas descentralizadas, donde se han perdido miles de millones históricamente debido a brechas de validación de pruebas y errores de configuración. Hyperbridge se había posicionado como una alternativa segura y verificada criptográficamente aprovechando los mecanismos de consenso GRANDPA y BEEFY de Polkadot. El ataque destaca cómo incluso los diseños avanzados pueden fallar cuando parámetros clave como los períodos de desafío se minimizan o cuando los contratos de verificación upstream carecen de auditorías públicas del código fuente.
No se ha publicado ningún informe forense completo de Hyperbridge o Polkadot mientras continúan las investigaciones. Las empresas de seguridad de blockchain CertiK y analistas independientes continúan monitoreando los movimientos del atacante. El incidente sirve como recordatorio de los riesgos persistentes en la infraestructura cross-chain, incluso para protocolos construidos en redes establecidas como Polkadot.