Se acuñaron 1.000 millones de DOTs de la nada, pero el hacker solo ganó 230.000 dólares

By: rootdata|2026/04/13 18:10:02

Autor: Zhou, ChainCatcher

El 13 de abril a las 10 AM, hora de Pekín, la plataforma de monitoreo en cadena emitió alertas: hubo una emisión anormal de activos puenteados en la red Ethereum desde Polkadot.
Según el análisis de CertiK, el atacante envió una solicitud de cadena cruzada cuidadosamente elaborada al contrato HandlerV1 en el lado de Ethereum a través del protocolo ISMP de Hyperbridge, junto con una prueba MMR real históricamente aceptada, eludiendo con éxito el mecanismo de verificación.

BlockSec Phalcon posteriormente lanzó una alerta técnica, clasificando esta vulnerabilidad como una vulnerabilidad de repetición de prueba MMR. Según su análisis, la raíz de la vulnerabilidad radica en que la protección contra repeticiones del contrato HandlerV1 solo verifica si el hash de una determinada solicitud se ha utilizado antes, pero el proceso de verificación de pruebas no vincula la carga útil de la solicitud enviada a la prueba verificada.

Esta brecha lógica permitió al atacante reproducir una prueba históricamente válida y emparejarla con una solicitud maliciosa recién construida, ejecutando así la operación ChangeAssetAdmin a través de la ruta TokenGateway.onAccept(), transfiriendo los derechos de administrador y acuñación del contrato DOT envuelto en Ethereum (dirección: 0x8d...8F90b8) a una dirección controlada por el atacante.

Según los datos en cadena, después de obtener los derechos de acuñación, el atacante acuñó 1.000 millones de DOT puenteados, que era aproximadamente 2805 veces el suministro circulante reportado de alrededor de 356.000 de ese token en Ethereum en ese momento.

Posteriormente, el atacante intercambió todas las fichas por aproximadamente 108,2 ETH a través del Odos Router y el pool de liquidez Uniswap V4, transfiriéndolo a la cuenta externa del atacante, realizando una ganancia de aproximadamente 237.000 dólares según el precio de ese momento, con todo el ataque consumiendo solo alrededor de 0,74 dólares en tarifas de gas.

BlockSec Phalcon también mencionó que había habido un ataque previo utilizando el mismo método, dirigido a los tokens MANTA y CERE, resultando en una pérdida de aproximadamente 12.000 dólares. La pérdida total de ambos ataques ascendió a aproximadamente 242.000 dólares.

Después del incidente, los principales intercambios surcoreanos Upbit y Bithumb anunciaron la suspensión de los servicios de depósito y retiro para DOT y la red AssetHub de Polkadot para prevenir posibles riesgos de depósitos falsos.

Los funcionarios de Polkadot declararon que esta vulnerabilidad solo afecta a los DOT puenteados a Ethereum a través de Hyperbridge y no impacta a los activos DOT dentro del ecosistema de Polkadot o a los DOT transferidos a través de otros puentes de cadena cruzada. Polkadot y sus parachains, así como el DOT nativo, permanecen seguros y no afectados. Actualmente, Hyperbridge ha sido suspendido para investigar el problema.

Cabe mencionar que, aunque la escala de acuñación alcanzó 1.000 millones, la pérdida real fue mucho menor que la cifra teórica. Debido a la liquidez en cadena extremadamente limitada de los DOT envueltos en Ethereum, la venta concentrada de 1.000 millones de tokens hizo que el precio de los DOT envueltos cayera instantáneamente de 1,22 dólares a 0,00012831 dólares, una caída del 99,98%, haciendo que la mayoría de los tokens fueran ineficaces para la liquidación.

Según los datos de CoinMarketCap, el precio del token nativo DOT también cayó brevemente casi un 5% debido al sentimiento del mercado.

Los usuarios en X afirmaron de manera sincera que quién habría pensado que el mito del cruce de cadenas DOT, que una vez estuvo al lado de Ethereum, explotaría en las redes sociales de esta manera. Los puentes entre cadenas se han convertido una vez más en el "talón de Aquiles" del mundo cripto, transformándose de un área previamente descuidada en una escena de devastación. Cuando aparecieron 1.000 millones de DOT de la nada, todos los indicadores técnicos se volvieron inútiles.

Algunos usuarios comentaron en tono de broma que la baja liquidez salvó a Polkadot esta vez, manteniendo la pérdida real en torno a los 237.000 dólares.

Sin embargo, la baja liquidez de los activos puenteados, aunque limita las ganancias del hacker, expone las posibles vulnerabilidades de la capa de interoperabilidad entre cadenas.

Se informa que Hyperbridge, desarrollado por Polytope Labs, es un proyecto de interoperabilidad entre cadenas dentro del ecosistema de Polkadot, que ha confiado durante mucho tiempo en pruebas criptográficas en lugar de comités de firma múltiple como su mecanismo de seguridad central, posicionándose como una infraestructura de cruce de cadenas minimizada en confianza. El proyecto había enfatizado previamente su resistencia a los ataques comunes de puentes.

Pero este incidente puede indicar que la integridad del mecanismo de prueba criptográfica por sí sola no es suficiente para garantizar la seguridad; la lógica de implementación específica del contrato Gateway en el lado de Ethereum también constituye una superficie de ataque.

Desde una perspectiva más amplia, este incidente refleja la grave situación de seguridad en DeFi desde 2026. Este año han ocurrido varios ataques significativos, incluyendo a Venus generando 2,15 millones de dólares en deuda mala debido a la manipulación de precios, a Resolve sobre-emitiendo 80 millones de USR, y a Drift siendo hackeado por más de 285 millones de dólares en activos, con diversos métodos de ataque y un amplio rango de áreas afectadas.

Tomar el control de los derechos de emisión para una emisión ilimitada no es un nuevo modelo de ataque. Sin embargo, debido a la liquidez extremadamente baja de Hyperbridge, las pérdidas se minimizaron inesperadamente.

Según los datos de CertiK, hubo 46 incidentes de seguridad registrados solo en marzo, con pérdidas totales de aproximadamente 39,8 millones de dólares, marcando el récord mensual más alto desde noviembre de 2024. CertiK también señaló que la frecuencia de explotación de vulnerabilidades de código ha aumentado, posiblemente relacionado con el auge de herramientas de descubrimiento de vulnerabilidades asistidas por IA.

El aumento en la frecuencia de ataques también está llevando a la industria a reexaminar los límites de la seguridad y la regulación. El Director de Estrategia de Circle, Dante Disparte, había hecho un llamado anteriormente para que los protocolos, billeteras, intercambios y emisores de stablecoins consideraran la seguridad y la responsabilidad como una obligación compartida en respuesta al incidente de robo del Protocolo Drift, sugiriendo que los protocolos DeFi podrían desarrollar medidas de protección técnica en cadena haciendo referencia a los mecanismos de cortocircuito del mercado tradicional y promover legislación relevante para incorporar derechos de propiedad y estándares de protección de la privacidad financiera en la ley antes de que ocurra el próximo gran incidente.

Precio de --

Te puede gustar

He encontrado una "meme coin" que se disparó en solo unos días. ¿Algún consejo?

En la comunidad china, ha surgido gradualmente un "Occultismo Cripto" a gran escala.

TAO es Elon Musk, quien invirtió en OpenAI, y Subnet es Sam Altman

La mayor parte del capital invertido en TAO finalmente subsidiará actividades de desarrollo que no proporcionan valor a los poseedores de tokens.

La era de la "distribución masiva de monedas" en cadenas públicas llega a su fin.

El mercado se está volviendo cada vez más inteligente y está abandonando los ecosistemas que dependen exclusivamente de la financiación para respaldar actividades fraudulentas. Ahora, lo que se recompensa es el rendimiento real, los usuarios reales y los ingresos reales.

Con un aumento de 50 veces, con un FDV superior a 10.000 millones de USD, ¿por qué RaveDAO?

¿Qué es exactamente RaveDAO? ¿Por qué Rave puede aumentar tanto?

La versión beta recién lanzada de Parse Noise, ¿cómo "enlazar" este calor?

Noise planea lanzar su red principal en Base en los próximos meses, momento en el que la plataforma estará abierta a todos y permitirá el comercio con dinero real.

¿Cuándo terminará la guerra tras el bloqueo del Estrecho de Ormuz?

Estados Unidos ha despojado a Irán de su carta más importante, pero también ha perdido el camino para poner fin a la guerra

Antes de usar X Chat, el «WeChat occidental» de Musk, debes tener claras estas tres cuestiones

La aplicación X Chat estará disponible para su descarga en la App Store este viernes. Los medios de comunicación ya han informado sobre la lista de funciones, que incluye mensajes que se autodestruyen, la prevención de capturas de pantalla, chats grupales de hasta 481 personas, la integración con Grok y el registro sin necesidad de un número de teléfono, y la han calificado como el «WeChat occidental». Sin embargo, hay tres cuestiones que apenas se han abordado en ningún informe.

Hay una frase en la página de ayuda oficial de X que sigue ahí: «Si personas malintencionadas dentro de la empresa o la propia X provocan que las conversaciones cifradas queden al descubierto a raíz de procedimientos legales, ni el remitente ni el destinatario se darán cuenta en absoluto».

Pregunta uno: ¿Es este cifrado el mismo que el de Signal?

No. La diferencia radica en dónde se almacenan las claves.

En el cifrado de extremo a extremo de Signal, las claves nunca salen de tu dispositivo. Ni X, ni el tribunal, ni ninguna tercera parte tiene tus claves. Los servidores de Signal no disponen de nada que permita descifrar tus mensajes; incluso si se les exigiera mediante una citación judicial, solo podrían facilitar las marcas de tiempo de registro y las horas de la última conexión, tal y como demuestran los registros de citaciones judiciales anteriores.

X Chat utiliza el protocolo Juicebox. Esta solución divide la clave en tres partes, cada una de las cuales se almacena en uno de los tres servidores gestionados por X. Al recuperar la clave con un código PIN, el sistema recupera estos tres fragmentos de los servidores de X y los vuelve a combinar. Por muy complejo que sea el código PIN, X es quien realmente custodia la clave, no el usuario.

Este es el trasfondo técnico de la «frase de la página de ayuda»: dado que la clave se encuentra en los servidores de X, X tiene la capacidad de responder a procedimientos legales sin que el usuario lo sepa. Signal no tiene esta capacidad, no por una cuestión de política, sino porque simplemente no dispone de la clave.

La siguiente ilustración compara los mecanismos de seguridad de Signal, WhatsApp, Telegram y X Chat en seis aspectos. X Chat es la única de las cuatro en la que la plataforma conserva la clave y la única que carece de confidencialidad hacia adelante.

La importancia de la confidencialidad hacia adelante radica en que, aunque una clave se vea comprometida en un momento dado, los mensajes anteriores no pueden descifrarse, ya que cada mensaje cuenta con una clave única. El protocolo Double Ratchet de Signal actualiza automáticamente la clave después de cada mensaje, un mecanismo del que carece X Chat.

Tras analizar la arquitectura de XChat en junio de 2025, Matthew Green, profesor de criptología de la Universidad Johns Hopkins, comentó: «Si consideramos XChat como un sistema de cifrado de extremo a extremo, esta vulnerabilidad parece ser de las que suponen el fin del juego». Más tarde añadió: «No confiaría en esto más de lo que confío en los mensajes directos actuales sin cifrar».

Desde el informe de TechCrunch de septiembre de 2025 hasta su puesta en marcha en abril de 2026, esta arquitectura no sufrió ningún cambio.

En un tuit publicado el 9 de febrero de 2026, Musk se comprometió a someter X Chat a rigurosas pruebas de seguridad antes de su lanzamiento en X Chat y a publicar todo el código en código abierto.

A fecha del 17 de abril, fecha de lanzamiento, no se ha realizado ninguna auditoría independiente por parte de terceros, no existe un repositorio oficial del código en GitHub y la etiqueta de privacidad de la App Store revela que X Chat recopila cinco o más categorías de datos, entre los que se incluyen la ubicación, la información de contacto y el historial de búsqueda, lo que contradice directamente la afirmación publicitaria de «Sin anuncios, sin rastreadores».

Número 2: ¿Sabe Grok lo que estás escribiendo en privado?

No se trata de una supervisión continua, sino de un punto de acceso claro.

En cada mensaje de X Chat, los usuarios pueden mantener pulsado y seleccionar «Preguntar a Grok». Al hacer clic en este botón, el mensaje se envía a Grok en texto sin cifrar, pasando de estar cifrado a estar sin cifrar en esta fase.

Este diseño no es una vulnerabilidad, sino una característica. Sin embargo, la política de privacidad de X Chat no especifica si estos datos en texto sin cifrar se utilizarán para el entrenamiento del modelo de Grok ni si Grok almacenará el contenido de estas conversaciones. Al hacer clic en «Pregúntale a Grok», los usuarios desactivan voluntariamente la protección de cifrado de ese mensaje.

También hay un problema estructural: ¿Cuánto tardará este botón en pasar de ser una «función opcional» a convertirse en un «hábito habitual»? Cuanto mayor sea la calidad de las respuestas de Grok, más a menudo recurrirán a él los usuarios, lo que provocará un aumento en la proporción de mensajes que quedan fuera de la protección del cifrado. La solidez real del cifrado de X Chat, a la larga, depende no solo del diseño del protocolo Juicebox, sino también de la frecuencia con la que los usuarios hagan clic en «Ask Grok».

Número 3: ¿Por qué no hay una versión para Android?

La versión inicial de X Chat solo es compatible con iOS; en cuanto a la versión para Android, solo se indica «próximamente», sin especificar una fecha concreta.

En el mercado mundial de teléfonos inteligentes, Android cuenta con una cuota de mercado de aproximadamente el 73 %, mientras que iOS tiene alrededor del 27 % (IDC/Statista, 2025). De los 3.140 millones de usuarios activos mensuales de WhatsApp, el 73 % utiliza Android (según Demand Sage). En la India, WhatsApp cuenta con 854 millones de usuarios, con una penetración de Android superior al 95 %. En Brasil hay 148 millones de usuarios, de los cuales el 81 % utiliza Android, y en Indonesia hay 112 millones de usuarios, de los cuales el 87 % utiliza Android.

El dominio de WhatsApp en el mercado mundial de las comunicaciones se basa en Android. Signal, con una base de usuarios activos mensuales de unos 85 millones, también cuenta principalmente con usuarios preocupados por la privacidad en países donde predomina Android.

X Chat eludió este campo de batalla, lo que da lugar a dos posibles interpretaciones. Una de ellas es la deuda técnica; X Chat está desarrollado en Rust, y lograr la compatibilidad multiplataforma no es fácil, por lo que dar prioridad a iOS puede suponer una limitación desde el punto de vista técnico. La otra es una decisión estratégica; dado que iOS cuenta con una cuota de mercado de casi el 55 % en Estados Unidos y que la base de usuarios principal de X se encuentra en ese país, dar prioridad a iOS significa centrarse en su base de usuarios principal, en lugar de entrar en competencia directa con los mercados emergentes, dominados por Android, y con WhatsApp.

Estas dos interpretaciones no son mutuamente excluyentes y conducen al mismo resultado: Con su lanzamiento, X Chat renunció voluntariamente al 73 % de los usuarios de teléfonos inteligentes de todo el mundo.

La «superapp» de Elon Musk

Algunos han descrito este asunto de la siguiente manera: X Chat, junto con X Money y Grok, forma un trío que crea un sistema de datos de circuito cerrado paralelo a la infraestructura existente, similar en su concepto al ecosistema de WeChat. Esta valoración no es nueva, pero con el lanzamiento de X Chat, merece la pena volver a examinar el esquema.

X Chat genera metadatos de comunicación, incluida información sobre quién habla con quién, durante cuánto tiempo y con qué frecuencia. Estos datos se introducen en el sistema de identidad de X. Parte del contenido del mensaje pasa por la función «Ask Grok» y entra en la cadena de procesamiento de Grok. Las transacciones financieras las gestiona X Money: las pruebas públicas externas concluyeron en marzo y el servicio se abrió al público en abril, lo que permite realizar transferencias entre particulares de dinero fiduciario a través de Visa Direct. Un alto cargo de Fireblocks ha confirmado los planes para poner en marcha los pagos con criptomonedas a finales de año, ya que actualmente la empresa cuenta con licencias de transferencia de fondos en más de 40 estados de EE. UU.

Todas las funciones de WeChat se ajustan al marco normativo de China. El sistema de Musk opera dentro de los marcos normativos occidentales, pero él también ocupa el cargo de director del Departamento de Eficiencia Gubernamental (DOGE). No se trata de una réplica de WeChat, sino de una recreación de la misma lógica en un contexto político diferente.

La diferencia es que WeChat nunca ha afirmado explícitamente en su interfaz principal que cuente con «cifrado de extremo a extremo», mientras que X Chat sí lo hace. En la percepción de los usuarios, el «cifrado de extremo a extremo» significa que nadie, ni siquiera la plataforma, puede ver tus mensajes. El diseño arquitectónico de X Chat no cumple con esta expectativa de los usuarios, pero utiliza este término.

X Chat concentra en manos de una sola empresa la información relativa a «quién es esta persona, con quién habla y de dónde procede y a dónde va su dinero».

La frase de la página de ayuda nunca ha sido solo una serie de instrucciones técnicas.

¿La langosta es cosa del pasado? Desempaquetando las herramientas del agente Hermes que multiplican su rendimiento por 100.

Cuanto más lo uses, más inteligente se vuelve. ¿Qué hace que Hermes, la plataforma a la que han migrado los desarrolladores, sea especial?

¿Declarar la guerra a la IA? La narrativa apocalíptica detrás de la residencia en llamas de Ultraman

Cuando salvar a la humanidad se convierte en el único criterio, los límites de la acción comienzan a desdibujarse.

¿Los VC de criptomonedas están muertos? El ciclo de extinción del mercado ha comenzado

Ante la aparición de proyectos de alta calidad, los VC están comenzando a pasar de los candidatos a los seleccionados.

El Viaje de Claude hacia la Insensatez en Diagramas: El Costo de la Austeridad, o Cómo la Factura de la API Aumentó 100 Veces

De $300 a $40,000

Regresión de terrenos en los bordes: Un repaso al poder marítimo, la energía y el dólar.

Quien controla los mares controla el sistema monetario; una vez atrapado en un juego terrestre, se pierde la iniciativa.

Última entrevista con Arthur Hayes: ¿Cómo deberían los inversores minoristas afrontar el conflicto con Irán?

En el turbulento año 2026, ¿cuáles son los activos verdaderamente valiosos que conviene conservar?

Hace un momento, Sam Altman fue atacado de nuevo, esta vez a tiros.

La residencia de Sam Altman fue atacada a tiros nuevamente, lo que refleja la profunda ansiedad y la crisis de confianza entre el público con respecto a la acelerada evolución de la IA hacia una "fuerza cuasi política" y la falta de controles y equilibrios sociales que subyacen a la violencia extrema.

Resumen del bloqueo del estrecho y las stablecoins | Edición matutina de Rewire News

Los precios del petróleo se disparan

El gobernador de California firma una orden para prohibir el uso de información privilegiada en los mercados de predicción

Gavin Newsom, el gobernador de California, ha firmado una orden ejecutiva que busca restringir el uso de información…

De grandes expectativas a un giro polémico: el airdrop de Genius provoca una fuerte reacción en la comunidad.

El plazo para presentar una reclamación inmediata es de 7 días después de la fecha límite para la presentación de la reclamación. Si el usuario elige reclamar los tokens de inmediato, el 70% de ellos se quemarán automáticamente.

La fábrica de vehículos eléctricos de Xiaomi en el distrito de Daxing en Pekín se ha convertido en la nueva Jerusalén para la élite estadounidense

¿Qué convierte exactamente una línea de montaje de automóviles en un punto caliente?