1 billón de puntos fueron acuñados de la nada, pero el hacker solo ganó 230.000 dólares

Autor: Zhou, ChainCatcher

El 13 de abril a las 10 AM, hora de Beijing, la plataforma de monitoreo en cadena emitió alertas: hubo una emisión anormal de activos puenteados en la red Ethereum desde Polkadot.
Según el análisis de CertiK, el atacante presentó una solicitud cruzada cuidadosamente diseñada al contrato HandlerV1 en el lado de Ethereum a través del protocolo ISMP de Hyperbridge, junto con una prueba de MMR real históricamente aceptada, evitando con éxito el mecanismo de verificación.

BlockSec Phalcon posteriormente lanzó una alerta técnica, clasificando esta vulnerabilidad como una vulnerabilidad de repetición a prueba de MMR. Según su análisis, la raíz de la vulnerabilidad reside en el hecho de que la protección de repetición del contrato HandlerV1 solo verifica si el hash de una determinada solicitud se ha utilizado anteriormente, pero el proceso de verificación de pruebas no vincula la carga útil de la solicitud enviada a la prueba verificada.

Esta brecha lógica permitió al atacante reproducir una prueba históricamente válida y emparejarla con una solicitud maliciosa recién construida, ejecutando así la operación ChangeAssetAdmin a través de la ruta TokenGateway.onAccept(), transfiriendo los derechos de administración y acuñación del contrato DOT envuelto en Ethereum (dirección: 0x8d...8F90b8) a una dirección controlada por el atacante.

Según datos de la cadena, después de obtener los derechos de acuñación, el atacante acuñó mil millones de DOT puenteados, que era aproximadamente 2805 veces el suministro circulante reportado de alrededor de 356.000 de ese token en Ethereum en ese momento.

Posteriormente, el atacante intercambió todas las fichas por unas 108.2 ETH a través del router Odos y el pool de liquidez Uniswap V4, transfiriéndolas a la cuenta externa del atacante, obteniendo una ganancia de unos 237 000 dólares basada en el precio en ese momento, consumiendo todo el ataque solo unos 0,74 dólares en tarifas de gasolina.

BlockSec Phalcon también mencionó que había habido un ataque anterior usando el mismo método, dirigido contra tokens de MANTA y CERE, lo que resultó en una pérdida de aproximadamente $ 12.000. Las pérdidas totales de ambos ataques ascendieron aproximadamente a 244.000 dólares.

Después del incidente, las principales bolsas surcoreanas Upbit y Bithumb anunciaron la suspensión de los servicios de depósito y retiro para la red DOT y AssetHub Polkadot para prevenir posibles riesgos de depósitos falsos.

Los funcionarios de Polkadot declararon que esta vulnerabilidad solo afecta a DOT puenteado a Ethereum a través de Hyperbridge y no afecta a los activos de DOT dentro del ecosistema de Polkadot o DOT transferidos a través de otros puentes cruzados. Polkadot y sus paracadenas, así como DOT nativo, permanecen seguros y no se ven afectados. Actualmente, Hyperbridge ha sido suspendido para investigar el tema.

Cabe mencionar que, aunque la escala de acuñación alcanzó los 1.000 millones, la pérdida real fue muy inferior a la cifra teórica. Debido a la liquidez extremadamente limitada en la cadena de DOT envuelto en Ethereum, la venta concentrada de 1.000 millones de tokens desplomó instantáneamente el precio del DOT envuelto de 1,22 $ a 0,00012831 $, una caída del 99,98%, lo que hizo que la mayoría de los tokens no fueran efectivos para la liquidación.

Según datos de CoinMarketCap, el precio del token DOT nativo también cayó brevemente casi un 5% debido al sentimiento del mercado.

Los usuarios de X declararon con franqueza que quién hubiera pensado que el mito cruzado DOT, que una vez estuvo junto a Ethereum, explotaría en las redes sociales de esta manera. Los puentes cruzados se han convertido una vez más en el "talón de Aquiles" del mundo criptográfico, transformándose de un área previamente descuidada en un escenario de devastación. Cuando 1.000 millones de DOT aparecieron de la nada, todos los indicadores técnicos quedaron sin valor.

Algunos usuarios comentaron bromeando que la baja liquidez salvó a Polkadot esta vez, manteniendo la pérdida real alrededor de $237,000.

Sin embargo, la baja liquidez de los activos puenteados, aunque limita las ganancias del hacker, expuso las vulnerabilidades potenciales de la capa de interoperabilidad entre cadenas.

Se informa que Hyperbridge, desarrollado por Polytope Labs, es un proyecto de interoperabilidad entre cadenas dentro del ecosistema de Polkadot, que durante mucho tiempo se ha basado en pruebas criptográficas en lugar de comités de múltiples firmas como su mecanismo de seguridad central, posicionándose como una infraestructura entre cadenas minimizada por confianza. El proyecto había subrayado anteriormente su resistencia a los ataques comunes de puente.

Pero este incidente puede indicar que la integridad del mecanismo de prueba criptográfica por sí sola no es suficiente para garantizar la seguridad; la lógica de implementación específica del contrato Gateway en el lado de Ethereum también constituye una superficie de ataque.

Desde una perspectiva más amplia, este incidente refleja la grave situación de la seguridad en DeFi desde 2026. Varios ataques significativos han ocurrido este año, incluyendo Venus generando $2,15 millones en deudas incobrables debido a la manipulación de precios, Resuelve la sobreacuñación de 80 millones de USR y Drift siendo hackeado por más de $285 millones en activos, con varios métodos de ataque y una amplia gama de áreas afectadas.

Hacerse con los derechos de acuñación para su emisión ilimitada no es un nuevo modelo de ataque. Sin embargo, debido a la liquidez extremadamente superficial de Hyperbridge, las pérdidas se minimizaron inesperadamente.

Según datos de CertiK, solo en marzo se registraron 46 incidentes de seguridad, con pérdidas totales de aproximadamente 39,8 millones de dólares, lo que marca el récord mensual más alto desde noviembre de 2024. CertiK también señaló que la frecuencia de la explotación de vulnerabilidades de código ha aumentado, posiblemente relacionada con el aumento de las herramientas de descubrimiento de vulnerabilidades asistidas por IA.

El aumento de la frecuencia de los ataques también está llevando a la industria a reexaminar los límites de la seguridad y la regulación. El Director de Estrategia del Círculo, Dante Disparte, pidió previamente que los protocolos, carteras, intercambios y emisores de monedas estables consideren la seguridad y la rendición de cuentas como una obligación compartida en respuesta al incidente de robo del Protocolo de deriva, sugiriendo que los protocolos DeFi podrían desarrollar medidas de protección técnica en cadena que hagan referencia a los mecanismos tradicionales de disyuntores del mercado y promuevan legislación relevante para incorporar los derechos de propiedad y las normas de protección de la privacidad financiera en la ley antes de que ocurra el próximo incidente importante.