Se acuñaron 1.000 millones de DOT de la nada, pero el hacker solo obtuvo 230.000 dólares

Autor: Zhou, ChainCatcher

El 13 de abril a las 10 a. m., hora de Beijing, la plataforma de monitoreo en cadena emitió alertas: había una emisión anormal de activos puenteados en la red Ethereum desde Polkadot.
Según el análisis de CertiK, el atacante envió una solicitud intercadena cuidadosamente elaborada al contrato HandlerV1 en el lado de Ethereum a través del protocolo ISMP de Hyperbridge, junto con una prueba de MMR real históricamente aceptada, evitando con éxito el mecanismo de verificación.

BlockSec Phalcon posteriormente publicó una alerta técnica, clasificando esta vulnerabilidad como una vulnerabilidad de prueba de reproducción de MMR. Según su análisis, la raíz de la vulnerabilidad radica en el hecho de que la protección contra la reproducción del contrato HandlerV1 solo verifica si el hash de una cierta solicitud se ha utilizado antes, pero el proceso de verificación de la prueba no vincula la carga útil de la solicitud presentada con la prueba verificada.

Esta laguna lógica permitió al atacante reproducir una prueba históricamente válida y asociarla con una solicitud maliciosa recién construida, ejecutando así la operación ChangeAssetAdmin a través de la ruta TokenGateway.onAccept(), transfiriendo los derechos de administrador y acuñación del contrato DOT envuelto en Ethereum (dirección: 0x8d...8F90b8) a una dirección controlada por el atacante.

Según los datos en cadena, después de obtener los derechos de acuñación, el atacante acuñó 1.000 millones de DOT puenteados, lo que fue aproximadamente 2805 veces el suministro circulante reportado de unos 356.000 de ese token en Ethereum en ese momento.

Posteriormente, el atacante intercambió todos los chips por aproximadamente 108,2 ETH a través del enrutador Odos y el fondo de liquidez Uniswap V4, transfiriéndolo a la cuenta externa del atacante, obteniendo una ganancia de aproximadamente $237,000 según el precio de ese momento, y todo el ataque consumió solo aproximadamente $0.74 en tarifas de gas.

BlockSec Phalcon también mencionó que había habido un ataque anterior utilizando el mismo método, dirigido a los tokens MANTA y CERE, lo que resultó en una pérdida de aproximadamente $12,000. La pérdida total de ambos ataques ascendió a aproximadamente $242,000.

Después del incidente, los principales intercambios surcoreanos Upbit y Bithumb anunciaron la suspensión de los servicios de depósito y retiro para DOT y AssetHub Polkadot network para prevenir posibles riesgos de depósitos falsos.

Los funcionarios de Polkadot declararon que esta vulnerabilidad solo afecta a DOT puenteado a Ethereum a través de Hyperbridge y no impacta en los activos DOT dentro del ecosistema Polkadot o en DOT transferido a través de otros puentes entre cadenas. Polkadot y sus parachains, así como DOT nativo, permanecen seguros y sin efecto. Actualmente, Hyperbridge ha sido suspendido para investigar el problema.

Vale la pena mencionar que, aunque la escala de acuñación alcanzó los 1.000 millones, la pérdida real fue mucho menor que la cifra teórica. Debido a la liquidez extremadamente limitada en la cadena de DOT envuelto en Ethereum, la venta concentrada de 1.000 millones de tokens hizo que el precio de DOT envuelto se desplomara instantáneamente de $1.22 a $0.00012831, una caída del 99,98 %, lo que hizo que la mayoría de los tokens fueran ineficaces para la liquidación.

Según los datos de CoinMarketCap, el precio del token DOT nativo también cayó brevemente casi un 5 % debido al sentimiento del mercado.

Los usuarios de X declararon abiertamente que quién iba a pensar que el mito de la cadena cruzada DOT, que una vez estuvo al lado de Ethereum, explotaría en las redes sociales de esta manera. Los puentes de cadena cruzada se han convertido una vez más en el "talón de Aquiles" del mundo de las criptomonedas, transformándose de un área previamente descuidada en un escenario de devastación. Cuando 1.000 millones de DOT aparecieron de la nada, todos los indicadores técnicos se volvieron inútiles.

Algunos usuarios bromearon diciendo que la baja liquidez salvó a Polkadot esta vez, manteniendo la pérdida real en alrededor de $237,000.

Sin embargo, la baja liquidez de los activos puenteados, si bien limitó las ganancias del hacker, expuso las posibles vulnerabilidades de la capa de interoperabilidad de cadena cruzada.

Se informa que Hyperbridge, desarrollado por Polytope Labs, es un proyecto de interoperabilidad entre cadenas dentro del ecosistema Polkadot, que desde hace tiempo se ha basado en pruebas criptográficas en lugar de comités de múltiples firmas como su mecanismo de seguridad central, posicionándose como una infraestructura entre cadenas con minimización de confianza. El proyecto había enfatizado anteriormente su resistencia a los ataques comunes a los puentes.

Pero este incidente puede indicar que la integridad del mecanismo de prueba criptográfica por sí sola no es suficiente para garantizar la seguridad; la lógica de implementación específica del contrato Gateway en el lado de Ethereum también constituye una superficie de ataque.

Desde una perspectiva más amplia, este incidente refleja la grave situación de seguridad en curso en DeFi desde 2026. Varios ataques significativos han ocurrido este año, incluyendo Venus generando $2.15 millones en deuda incobrable debido a la manipulación de precios, Resolve sobre-mintiendo 80 millones de USR, y Drift siendo hackeado por más de $285 millones en activos, con varios métodos de ataque y una amplia gama de áreas afectadas.

La adquisición de derechos de acuñación para la emisión ilimitada no es un nuevo modelo de ataque. Sin embargo, debido a la liquidez extremadamente escasa de Hyperbridge, las pérdidas se minimizaron de manera inesperada.

Según los datos de CertiK, solo en marzo se registraron 46 incidentes de seguridad, con pérdidas totales de aproximadamente 39,8 millones de dólares, lo que marca el récord mensual más alto desde noviembre de 2024. CertiK también señaló que la frecuencia de explotación de vulnerabilidades en el código ha aumentado, posiblemente relacionada con el auge de las herramientas de descubrimiento de vulnerabilidades asistidas por IA.

El aumento en la frecuencia de los ataques también está incitando a la industria a reevaluar los límites de la seguridad y la regulación. El director de estrategia de Circle, Dante Disparte, pidió anteriormente que los protocolos, carteras, intercambios y emisores de stablecoins consideren la seguridad y la responsabilidad como una obligación compartida en respuesta al incidente de robo del Protocolo Drift, sugiriendo que los protocolos DeFi podrían desarrollar medidas de protección técnica en cadena haciendo referencia a los mecanismos tradicionales de interruptores de circuito del mercado y promover una legislación relevante para incorporar los derechos de propiedad y los estándares de protección de la privacidad financiera en la ley antes de que ocurra el próximo incidente importante.