El organismo de seguridad CertiK detectó el 13 de abril que el contrato de gateway entre cadenas de Hyperbridge fue objeto de un ataque por vulnerabilidad. El atacante utilizó mensajes falsificados para eludir la verificación del contrato, logró modificar con éxito los permisos de administrador del contrato de tokens DOT de puente de Polkadot y, de inmediato, acuñó ilegalmente 1.000 millones de DOT puenteados y los liquidó todos en una sola transacción. Al final, la ganancia fue solo de 108.2 ETH, equivalentes a 237.000 dólares.
Mecanismo del ataque: cómo los mensajes entre cadenas falsificados obtienen el control de administrador
(Fuente: CertiK)
Hyperbridge es un protocolo de gateway entre cadenas desplegado en Ethereum que permite que activos de redes como Polkadot circulen en Ethereum en forma de tokens puenteados. Según el monitoreo de CertiK, el atacante identificó una vulnerabilidad de validación de mensajes dentro del contrato y, mediante la construcción de mensajes entre cadenas falsificados que evaden las comprobaciones de legitimidad esperadas, logró apoderarse del control de administrador del contrato de tokens DOT puenteados.
Después de obtener los permisos de administrador, el atacante ejecutó operaciones de acuñación no autorizadas, creando de la nada 1.000 millones de DOT puenteados, y los vendió inmediatamente en su totalidad en una sola transacción. Todo el proceso—mensajes falsificados, alteración del administrador, acuñación y liquidación en corto—se completó en la cadena. La entidad de seguimiento on-chain Lookonchain confirmó que esta transacción finalmente solo convirtió a efectivo 108.2 ETH.
Por qué 1.000 millones de tokens solo se cambiaron por 237.000 dólares: las crudas matemáticas de la trampa de liquidez
El detalle más irónico de este ataque es la gran brecha entre 1.000 millones de tokens y 237.000 dólares. Los datos de Lookonchain muestran que, antes de que el atacante vendiera, el precio cotizado del DOT puenteado era de aproximadamente 1.22 dólares; el espacio teórico máximo de arbitraje superaba los 1.200 millones de dólares; sin embargo, la enorme presión vendedora de 1.000 millones de tokens superó en un instante la profundidad de liquidez absorbible en cadena, haciendo que el precio de la moneda cayera de 1.22 dólares a casi cero, y la gran mayoría de los tokens emitidos adicionalmente terminaron siendo como papel sin valor.
Esta es una “trampa de liquidez” típica: el atacante puede crear tokens, pero no puede crear compradores.
Resumen de datos clave del presente ataque
Contrato atacado: el contrato de gateway entre cadenas Hyperbridge en la cadena de Ethereum
Método de ataque: falsificación de mensajes entre cadenas y alteración de los permisos de administrador del contrato de tokens DOT puenteados
Cantidad de acuñación ilegal:1.000 millones de DOT puenteados en Ethereum
Precio antes de la venta:aprox. 1.22 dólares; después de la venta: cerca de cero
Beneficio real del atacante:108.2 ETH(aprox. 237.000 dólares)
Arbitraje máximo teórico:si la liquidez fuera suficiente, teóricamente podría superar los 1.200 millones de dólares
Alcance afectado:DOT puenteado en Ethereum; la cadena nativa de Polkadot no se ve afectada directamente
Distinción importante: el margen de seguridad entre activos puenteados y el DOT nativo de Polkadot
El objetivo de este ataque fue el contrato de tokens DOT puenteados desplegado en Ethereum. En este evento, el mecanismo de consenso de la cadena principal nativa de Polkadot y de su token DOT nativo no fue atacado ni afectado directamente.
Durante mucho tiempo, los puentes entre cadenas han sido uno de los segmentos con mayor concentración de riesgos de seguridad en el ecosistema DeFi. Los contratos inteligentes de activos puenteados normalmente se despliegan de forma independiente; sus estándares de auditoría de seguridad y mecanismos de monitoreo pueden diferir de los de la cadena nativa, lo que permite que el atacante, sin tocar la cadena principal, use por su cuenta vulnerabilidades del contrato del puente para causar daños. Los usuarios que mantienen activos puenteados deben comprender claramente que los riesgos que asumen no provienen solo de la cadena principal subyacente, sino también de la seguridad del contrato de la infraestructura de puente en sí.
Preguntas frecuentes
¿Qué es Hyperbridge? ¿Qué relación tiene con Polkadot?
Hyperbridge es un protocolo de gateway entre cadenas desplegado en Ethereum que permite que activos de redes como Polkadot circulen en Ethereum en forma de tokens puenteados. Es una de las infraestructuras que conectan el ecosistema de Polkadot y Ethereum; pero, en términos de arquitectura técnica, es independiente de la operación de la cadena principal nativa de Polkadot.
El atacante acuñó 1.000 millones de DOT; ¿por qué al final solo ganó 237.000 dólares?
Cuando el atacante vendió 1.000 millones de DOT puenteados, la profundidad de liquidez en la cadena de Ethereum era muy insuficiente para absorber una venta de ese volumen. La presión vendedora hizo que el precio de los tokens cayera instantáneamente desde 1.22 dólares hasta casi cero, provocando que la gran mayoría de los tokens acuñados casi no pudiera monetizarse. Al final, solo pudo vender con anticipación una proporción muy pequeña antes de que el mercado colapsara, convirtiendo a efectivo aproximadamente 108.2 ETH.
¿Este ataque afectó a los tenedores de DOT en la cadena nativa de Polkadot?
Según el análisis de CertiK, el objetivo del ataque fue el contrato de DOT puenteado en Ethereum; la cadena principal nativa de Polkadot y el token DOT nativo no se vieron afectados directamente. Los inversores que mantienen DOT de la cadena principal de Polkadot afrontan un impacto indirecto de sentimiento de mercado, no un riesgo directo de seguridad de los activos subyacentes.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
Alerta de Bajada de TradFi: RIOT (Riot Platforms) baja más del 4%
Gate News: según los últimos datos de Gate TradFi, RIOT (Riot Platforms) ha bajado un 4% en poco tiempo. La volatilidad actual es significativamente mayor que las medias recientes, lo que indica un aumento de la actividad del mercado.
GateNewsHace22m
Alerta de Subida de TradFi: JD (JD.com) sube más del 2%
Gate News: según los últimos datos de Gate TradFi, JD (JD.com) ha subido un 2% en poco tiempo. La volatilidad actual es significativamente mayor que las medias recientes, lo que indica un aumento de la actividad del mercado.
GateNewshace1h
Los meme coins del ecosistema de Solana, neet, alcanzaron una capitalización de mercado de 40 millones de dólares, con un aumento del 40% en las últimas 24 horas
Noticias de Gate News, 13 de abril, el meme coin neet de la comunidad Solana ha subido con fuerza hoy; la capitalización de mercado ha alcanzado los 40 millones de dólares, con un precio actual de 0.039 dólares y una subida del 40% en las últimas 24 horas. Anteriormente, el token comenzó a recuperarse después de que su capitalización cayera por debajo de los 7 millones de dólares el 12 de febrero, y recientemente ha seguido subiendo de forma gradual. Cabe señalar que los meme coins normalmente no tienen casos de uso reales, que el precio fluctúa mucho y que la inversión requiere evaluar cuidadosamente el riesgo.
GateNewshace1h
RAVE supera 7,5 dólares, sube más de 172% en el día
Noticias de Gate News, el 13 de abril, RAVE rompe los 7.5 USD, cotiza ahora en 7.46 USD, con una subida intradía de más de 172%.
GateNewshace1h
GIGGLE rompe temporalmente los 41 dólares, con una subida intradía de más del 40%
Noticias de Gate News, 13 de abril. Según los datos del mercado, GIGGLE subió temporalmente y superó el umbral de 41 dólares; ahora cotiza en 40 dólares, con una subida intradía de más del 40%.
GateNewshace1h
El precio del token de TRUMP cae 33%, y más del 91% del suministro se concentra en los 10 primeros monederos
El precio del token TRUMP se incrementó en una ocasión hasta un 50% después de que se anunciara el almuerzo en marzo, pero actualmente ha caído más de un 33%. Los datos de la cadena de bloques muestran que algunas ballenas cripto han extraído una gran cantidad de tokens; la concentración de tenencias provoca la volatilidad del precio. El almuerzo está programado para el 25 de abril, y se invitó a los primeros 297 tenedores.
GateNewshace2h
