Un atacante aprovechó el domingo una falla crítica en la pasarela cross-chain de Hyperbridge, logrando acuñar 1.000 millones de tokens de Polkadot (DOT) puenteados en la red Ethereum. Pese al enorme valor nominal de los activos generados, el atacante solo pudo hacerse con 237.000 dólares en ether tras intentar vender los tokens en un fondo de liquidez con poca profundidad.
Los analistas de seguridad confirmaron que el incidente se limitó exclusivamente al contrato de la pasarela de Hyperbridge. La red principal de Polkadot y sus tokens DOT nativos permanecen seguros y no se han visto afectados por la brecha.
Anatomía del fallo en el puente
La vulnerabilidad se originó en la forma en que el contrato EthereumHost de Hyperbridge gestiona los mensajes entrantes entre cadenas. Según los datos on-chain, el atacante eludió los protocolos de validación de pruebas de estado al enviar un mensaje falsificado a través de la función 'dispatchIncoming'.
Este mensaje fue redirigido a la función 'TokenGateway.onAccept', la cual no logró verificar correctamente la solicitud frente a un compromiso de estado válido de la red Polkadot. En lugar de confirmar la prueba, el sistema aceptó un valor de compromiso compuesto por ceros, otorgando al atacante control administrativo sobre el contrato de tokens puenteados.
Una vez establecido el control, el atacante acuñó los 1.000 millones de tokens DOT. Sin embargo, el intento de retirar los fondos enfrentó un obstáculo importante: el pool de liquidez de DOT en Ethereum no era lo suficientemente profundo como para absorber tal volumen de tokens. Como resultado, el atacante solo pudo extraer aproximadamente 237.000 dólares antes de agotar la liquidez disponible.
Los puentes se han convertido en el foco principal de los riesgos de seguridad en las finanzas descentralizadas. Dado que estos protocolos suelen poseer poderes administrativos sobre los contratos de tokens en las cadenas de destino, un simple error de validación puede derivar en la manipulación total del suministro.
Este suceso sigue la tendencia de incidentes de alto perfil en puentes durante 2026. El mes pasado, los atacantes sustrajeron 270 millones de dólares del protocolo Drift en la red Solana. Aunque el incidente de Hyperbridge resultó en una pérdida financiera comparativamente menor, los observadores de la industria advierten que la misma vulnerabilidad subyacente podría provocar pérdidas catastróficas si se aplicara a protocolos con mayor liquidez o activos de mayor valor.