Cómo ocurrió la explotación del puente de Polkadot (Explicación para principiantes).

Un atacante explotó una vulnerabilidad en un puente entre Polkadot y Ethereum, lo que le permitió acuñar una gran cantidad de tokens no respaldados y venderlos en el mercado.
A pesar de la enorme oferta creada, solo pudo extraer alrededor de 240,000 dólares en ETH antes de que se agotara la liquidez.
Vamos a desglosar cómo fue posible esto paso a paso.
¿Qué es un puente de blockchain?
Para entender qué ocurrió, necesitamos comenzar con lo básico.
Las blockchains como Polkadot y Ethereum son sistemas separados, no se comunican de forma natural entre sí. Un puente es una herramienta que los conecta.
Analogía sencilla:
Imagina dos países con monedas diferentes:
País A = Polkadot
País B = Ethereum
Un puente funciona como una casa de cambio de divisas:
Depositas DOT real en Polkadot, el puente lo bloquea y te da “DOT envuelto” en Ethereum.
Este token envuelto representa tu DOT real.
Ese token envuelto solo tiene valor si el puente es seguro y confiable.
¿Qué son las pruebas criptográficas?
Los puentes no confían directamente en los usuarios. En cambio, se basan en pruebas criptográficas.
Una prueba criptográfica es como un recibo verificable matemáticamente que dice:
“Este evento realmente ocurrió en la otra blockchain.”
Ejemplo:
“El usuario bloqueó 100 DOT en Polkadot”
La prueba confirma que esto es cierto, y el puente entonces emite 100 DOT envueltos en Ethereum.
¿Por qué es esto seguro?
Porque estas pruebas se basan en matemáticas complejas y datos de blockchain, diseñadas para ser imposibles de falsificar.
¿Qué significa “Forjar”?
Forjar algo en cripto significa crear una versión falsa que parezca lo suficientemente real para engañar al sistema.
Hacer que el sistema crea que algo ocurrió cuando no fue así.
Aquí fue donde las cosas salieron mal.
El problema principal en este caso fue que el puente confió en una prueba falsa,
en lugar de verificar correctamente: “¿Es esta prueba real?”
El sistema efectivamente dijo: “Me parece bien.”
Pero en realidad, no lo era.
Cómo el atacante tomó el control
El atacante no solo falsificó una transacción, sino que usó la prueba falsificada para activar una acción privilegiada dentro del contrato inteligente.
Un contrato inteligente es un programa en la blockchain que ejecuta automáticamente reglas y controla activos.
Algunas funciones están restringidas solo a administradores.
¿Qué ocurrió aquí?
El atacante presentó una prueba falsificada, y el contrato creyó que provenía de una fuente confiable. Como resultado, permitió la ejecución de una función restringida, que le otorgó privilegios de administrador. En ese momento, tuvo control total sobre el contrato.
El ataque:
Con control total, el atacante acuñó 1,000,000,000 de tokens falsos de DOT envuelto en Ethereum. Estos tokens no estaban respaldados por DOT real.
Para convertirlos en dinero real, usaron pools de liquidez en Uniswap.
Intercambiaron los tokens falsos por ETH usando pools donde usuarios reales habían depositado fondos.
Clarificación importante: Esto no fue un fallo de Uniswap. Uniswap es permissionless y no verifica si un token es “legítimo” o si un token existe y tiene liquidez. Las transacciones se ejecutan automáticamente.
El verdadero problema fue el puente vulnerable (Hyperbridge), que permitió que existieran tokens inválidos y no respaldados en primer lugar.
Dónde ocurrió realmente el ataque:
El atacante nunca tocó la red principal de Polkadot.
Todo sucedió en:
Ethereum → donde se acuñaron y vendieron tokens falsos
Uniswap → donde se drenó la liquidez
El puente → donde existía la vulnerabilidad
El resultado final:
el atacante extrajo unos 108 ETH (~$240,000) antes de que se agotara la liquidez.