Hackean Hyperbridge en Polkadot, pero por falta de liquidez fue 237 mil USD en lugar de 1.190 millones
Un atacante hizo un mint de 1.000 millones de tokens DOT sobre Ethereum explotando una vulnerabilidad en el gateway de Hyperbridge, el puente cross-chain del ecosistema Polkadot. La cifra suena apocalíptica — un valor teórico de 1.190 millones de dólares —, pero el botín real fue apenas de 237.000 USD en ETH. La falta de liquidez en los pools descentralizados donde se volcaron los tokens fue, paradójicamente, la muralla que contuvo el daño. DOT cayó un 6% en minutos, de 1,23 a 1,16 USD, antes de recuperar parcialmente hacia la zona de 1,19 USD.
La mecánica del ataque
El exploit no tocó la relay chain de Polkadot ni el token DOT nativo. Se concentró en el contrato EthereumHost de Hyperbridge, el componente que valida mensajes cross-chain antes de pasarlos al TokenGateway. El atacante desplegó dos contratos inteligentes — uno maestro y otro auxiliar — en una única transacción. A través del contrato auxiliar, envió un mensaje falsificado al contrato HandlerV1, explotando una falla en la función calculateRoot del sistema de pruebas Merkle Mountain Range (MMR).
El problema de fondo era grave: las pruebas criptográficas no estaban vinculadas a las solicitudes específicas, lo que permitía reutilizar compromisos de estado anteriores. El campo de verificación almacenaba un valor compuesto exclusivamente por ceros, lo que sugiere que la validación era inexistente o fácilmente eludible para ese camino de ejecución. El gateway procesó el mensaje como legítimo.
Con ese acceso, el atacante ejecutó la función changeAdmin sobre el contrato del token DOT bridgeado en Ethereum, transfiriendo privilegios de administrador y minteo a su propia dirección. A continuación, acuñó 1.000 millones de tokens en una sola transacción y los enrutó a través de Odos Router V3 hacia un pool DOT-ETH en Uniswap V4. El resultado: aproximadamente 108,2 ETH extraídos en múltiples swaps.
La liquidez como escudo involuntario
Cuando mil millones de tokens inundaron las órdenes de compra disponibles, el precio del DOT bridgeado se derrumbó de 1,22 USD a prácticamente cero en segundos. El atacante recibió una fracción de centavo por cada token. En un pool con mayor profundidad — pensemos en BTC/USDT o ETH/USDC —, el mismo exploit habría generado pérdidas de cientos de millones.
Firmas de seguridad como CertiK y PeckShield lo advirtieron: la vulnerabilidad puede parecer menor por la magnitud del robo, pero el vector de ataque es replicable en contratos con mayor liquidez y activos de mayor capitalización. Esa es la lección real.
Reacciones y silencios
CertiK fue la primera en alertar públicamente, confirmando que el vector fue el gateway de Hyperbridge y que la ganancia del atacante rondó los 237.000 dólares. Wu Blockchain difundió la noticia en X, generando una ola de comentarios y preocupación inmediata en la comunidad.
PeckShield también activó el rastreo de los fondos del atacante. Upbit y Bithumb, dos de los exchanges más grandes de Corea del Sur, suspendieron depósitos y retiros de DOT como medida preventiva, actuando como cortacircuitos ante la posibilidad de contagio.
Sin embargo, al momento de escribir este análisis, ni Hyperbridge ni Polytope Labs (la empresa desarrolladora del protocolo, fundada por Seun Lanlege y David Salami) han emitido un comunicado oficial detallado sobre mitigaciones, pausas del sistema o esfuerzos de recuperación de fondos. Ese silencio, en un ecosistema que se promociona como «trustless» y construido sobre pruebas criptográficas en lugar de comités multifirma, resulta incómodo.
Un puente que prometía no romperse
Hyperbridge nació con una promesa ambiciosa, ser el puente que no necesita confianza humana. Desarrollado como una parachain de Polkadot, utiliza pruebas de conocimiento cero y el protocolo BEEFY para verificar criptográficamente los estados de las cadenas conectadas, eliminando la dependencia de esquemas multisig que históricamente han sido el talón de Aquiles de los bridges. La propia wiki de Polkadot describe al protocolo ISMP (Interoperable State Machine Protocol) como el corazón de Hyperbridge para la mensajería segura entre cadenas.
Resulta irónico que el propio blog de Hyperbridge publicó, apenas hace dos semanas, un artículo titulado «The Hyperbridge Hack Explained» como broma de April Fools’, donde explicaba por qué un hackeo era teóricamente imposible gracias a su diseño criptográfico. Doce días después, la realidad superó a la sátira.
Contexto: los bridges siguen siendo el eslabón más débil
Este exploit no ocurre en el vacío. Según datos de Chainalysis, las fallas en bridges centralizados y descentralizados representan más del 60% de todos los hackeos cripto, con pérdidas acumuladas que superan los 2.000 millones de dólares. Solo en marzo de 2026, PeckShield registró aproximadamente 52 millones de dólares robados en unos 20 incidentes, casi el doble de febrero. En el mismo año, IoTeX perdió 4,3 millones por una clave privada comprometida en su bridge ioTube, y Resolv Labs sufrió un drenaje de 25 millones a través de una brecha en infraestructura cloud. El mes pasado, el exploit de Drift Protocol en Solana se llevó 270 millones de dólares.
Polkadot no es ajeno al problema. Su tesorería registró flujos netos negativos en abril de 2025, y la comunidad había implementado recientemente un cap duro de suministro de 2.100 millones de DOT para reforzar la escasez del token, una decisión de gobernanza que ahora enfrenta un dilema inesperado: ¿se debe inflar el suministro para compensar a los proveedores de liquidez afectados?
Los esfuerzos inmediatos se concentran en aislar el contrato comprometido para prevenir más minteos no autorizados. Se advierte a los usuarios no interactuar con versiones bridgeadas o wrapped de DOT en Ethereum hasta nuevo aviso.
DOT se mantiene técnicamente bajo presión, con el soporte en 1,15 USD como nivel clave. Si los compradores lo defienden, podría consolidarse y buscar la resistencia en 1,19-1,20 USD. Si cede, el camino bajista tiene espacio, especialmente con un RSI que ya marcaba lecturas cercanas a la sobreventa antes del incidente.
Por Sistemas, el 13/04/2026.
Siguiente