El puente entre cadenas Hyperbridge sufre un ataque; el atacante acuña 1.000 millones de tokens DOT para venderlos masivamente

El organismo de seguridad CertiK detectó el 13 de abril que el contrato de gateway entre cadenas de Hyperbridge fue objeto de un ataque por vulnerabilidad. El atacante utilizó mensajes falsificados para eludir la verificación del contrato, logró modificar con éxito los permisos de administrador del contrato de tokens DOT de puente de Polkadot y, de inmediato, acuñó ilegalmente 1.000 millones de DOT puenteados y los liquidó todos en una sola transacción. Al final, la ganancia fue solo de 108.2 ETH, equivalentes a 237.000 dólares.

Mecanismo del ataque: cómo los mensajes entre cadenas falsificados obtienen el control de administrador

（Fuente: CertiK）

Hyperbridge es un protocolo de gateway entre cadenas desplegado en Ethereum que permite que activos de redes como Polkadot circulen en Ethereum en forma de tokens puenteados. Según el monitoreo de CertiK, el atacante identificó una vulnerabilidad de validación de mensajes dentro del contrato y, mediante la construcción de mensajes entre cadenas falsificados que evaden las comprobaciones de legitimidad esperadas, logró apoderarse del control de administrador del contrato de tokens DOT puenteados.

Después de obtener los permisos de administrador, el atacante ejecutó operaciones de acuñación no autorizadas, creando de la nada 1.000 millones de DOT puenteados, y los vendió inmediatamente en su totalidad en una sola transacción. Todo el proceso—mensajes falsificados, alteración del administrador, acuñación y liquidación en corto—se completó en la cadena. La entidad de seguimiento on-chain Lookonchain confirmó que esta transacción finalmente solo convirtió a efectivo 108.2 ETH.

Por qué 1.000 millones de tokens solo se cambiaron por 237.000 dólares: las crudas matemáticas de la trampa de liquidez

El detalle más irónico de este ataque es la gran brecha entre 1.000 millones de tokens y 237.000 dólares. Los datos de Lookonchain muestran que, antes de que el atacante vendiera, el precio cotizado del DOT puenteado era de aproximadamente 1.22 dólares; el espacio teórico máximo de arbitraje superaba los 1.200 millones de dólares; sin embargo, la enorme presión vendedora de 1.000 millones de tokens superó en un instante la profundidad de liquidez absorbible en cadena, haciendo que el precio de la moneda cayera de 1.22 dólares a casi cero, y la gran mayoría de los tokens emitidos adicionalmente terminaron siendo como papel sin valor.

Esta es una “trampa de liquidez” típica: el atacante puede crear tokens, pero no puede crear compradores.

Resumen de datos clave del presente ataque

Contrato atacado: el contrato de gateway entre cadenas Hyperbridge en la cadena de Ethereum

Método de ataque: falsificación de mensajes entre cadenas y alteración de los permisos de administrador del contrato de tokens DOT puenteados

Cantidad de acuñación ilegal：1.000 millones de DOT puenteados en Ethereum

Precio antes de la venta：aprox. 1.22 dólares; después de la venta: cerca de cero

Beneficio real del atacante：108.2 ETH（aprox. 237.000 dólares）

Arbitraje máximo teórico：si la liquidez fuera suficiente, teóricamente podría superar los 1.200 millones de dólares

Alcance afectado：DOT puenteado en Ethereum; la cadena nativa de Polkadot no se ve afectada directamente

Distinción importante: el margen de seguridad entre activos puenteados y el DOT nativo de Polkadot

El objetivo de este ataque fue el contrato de tokens DOT puenteados desplegado en Ethereum. En este evento, el mecanismo de consenso de la cadena principal nativa de Polkadot y de su token DOT nativo no fue atacado ni afectado directamente.

Durante mucho tiempo, los puentes entre cadenas han sido uno de los segmentos con mayor concentración de riesgos de seguridad en el ecosistema DeFi. Los contratos inteligentes de activos puenteados normalmente se despliegan de forma independiente; sus estándares de auditoría de seguridad y mecanismos de monitoreo pueden diferir de los de la cadena nativa, lo que permite que el atacante, sin tocar la cadena principal, use por su cuenta vulnerabilidades del contrato del puente para causar daños. Los usuarios que mantienen activos puenteados deben comprender claramente que los riesgos que asumen no provienen solo de la cadena principal subyacente, sino también de la seguridad del contrato de la infraestructura de puente en sí.

Preguntas frecuentes

¿Qué es Hyperbridge? ¿Qué relación tiene con Polkadot?

Hyperbridge es un protocolo de gateway entre cadenas desplegado en Ethereum que permite que activos de redes como Polkadot circulen en Ethereum en forma de tokens puenteados. Es una de las infraestructuras que conectan el ecosistema de Polkadot y Ethereum; pero, en términos de arquitectura técnica, es independiente de la operación de la cadena principal nativa de Polkadot.

El atacante acuñó 1.000 millones de DOT; ¿por qué al final solo ganó 237.000 dólares?

Cuando el atacante vendió 1.000 millones de DOT puenteados, la profundidad de liquidez en la cadena de Ethereum era muy insuficiente para absorber una venta de ese volumen. La presión vendedora hizo que el precio de los tokens cayera instantáneamente desde 1.22 dólares hasta casi cero, provocando que la gran mayoría de los tokens acuñados casi no pudiera monetizarse. Al final, solo pudo vender con anticipación una proporción muy pequeña antes de que el mercado colapsara, convirtiendo a efectivo aproximadamente 108.2 ETH.

¿Este ataque afectó a los tenedores de DOT en la cadena nativa de Polkadot?

Según el análisis de CertiK, el objetivo del ataque fue el contrato de DOT puenteado en Ethereum; la cadena principal nativa de Polkadot y el token DOT nativo no se vieron afectados directamente. Los inversores que mantienen DOT de la cadena principal de Polkadot afrontan un impacto indirecto de sentimiento de mercado, no un riesgo directo de seguridad de los activos subyacentes.