Un hacker aprovechó una vulnerabilidad en el protocolo Hyperbridge para acuñar 1.000 millones de tokens Polkadot (DOT) vinculados en la blockchain de Ethereum, según un comunicado emitido por la empresa este lunes.
El exploit se centró en la lógica de verificación de pruebas del protocolo, lo que permitió a un atacante no identificado obtener el control administrativo del contrato del token DOT vinculado. Este fallo permitió la creación artificial de tokens con un valor estimado de 1.100 millones de dólares.
“Este fallo permitió que pruebas inválidas se aceptaran incorrectamente como válidas”, publicó Hyperbridge en X. “Como resultado, se procesó un mensaje malicioso que otorgó al atacante el control administrativo del contrato del token DOT vinculado en Ethereum”.
A pesar de la masiva acuñación, el atacante solo pudo extraer aproximadamente 237.000 dólares del exploit. La discrepancia entre el valor teórico de 1.100 millones de dólares y la pérdida real se debe a la falta de liquidez suficiente en los exchanges descentralizados.
Impacto en la red Polkadot
El incidente se limita estrictamente al DOT vinculado en la red de Ethereum. Hyperbridge confirmó que el DOT nativo en la cadena de retransmisión (relay chain) de Polkadot, las parachains y otros activos gestionados por el puente permanecen seguros y no se han visto afectados.
La acuñación de 1.000 millones de tokens por parte del atacante superó el suministro existente de DOT vinculado en unas 2.800 veces. Para ponerlo en perspectiva, el suministro total de DOT nativo (no vinculado) es de aproximadamente 1.600 millones de tokens.
Hyperbridge ha desconectado su aplicación para realizar tareas de mantenimiento. El equipo está implementando medidas de seguridad adicionales y colaborando con socios de seguridad para intentar recuperar los fondos robados.
Esta brecha de seguridad se suma a una serie de exploits de puentes de alto perfil en el sector DeFi. En 2022, la red Ronin sufrió una pérdida de 552 millones de dólares vinculada a hackers norcoreanos, mientras que el protocolo Drift de Solana perdió más de 285 millones de dólares a principios de abril.
