Se acuñaron 1.000 millones de DOTs de la nada, pero el hacker solo ganó 230.000 dólares

Autor: Zhou, ChainCatcher

El 13 de abril a las 10 AM, hora de Pekín, la plataforma de monitoreo en cadena emitió alertas: hubo una emisión anormal de activos puenteados en la red Ethereum desde Polkadot.
Según el análisis de CertiK, el atacante envió una solicitud de cadena cruzada cuidadosamente elaborada al contrato HandlerV1 en el lado de Ethereum a través del protocolo ISMP de Hyperbridge, junto con una prueba MMR real históricamente aceptada, eludiendo con éxito el mecanismo de verificación.

BlockSec Phalcon posteriormente lanzó una alerta técnica, clasificando esta vulnerabilidad como una vulnerabilidad de repetición de prueba MMR. Según su análisis, la raíz de la vulnerabilidad radica en que la protección contra repeticiones del contrato HandlerV1 solo verifica si el hash de una determinada solicitud se ha utilizado antes, pero el proceso de verificación de pruebas no vincula la carga útil de la solicitud enviada a la prueba verificada.

Esta brecha lógica permitió al atacante reproducir una prueba históricamente válida y emparejarla con una solicitud maliciosa recién construida, ejecutando así la operación ChangeAssetAdmin a través de la ruta TokenGateway.onAccept(), transfiriendo los derechos de administrador y acuñación del contrato DOT envuelto en Ethereum (dirección: 0x8d...8F90b8) a una dirección controlada por el atacante.

Según los datos en cadena, después de obtener los derechos de acuñación, el atacante acuñó 1.000 millones de DOT puenteados, que era aproximadamente 2805 veces el suministro circulante reportado de alrededor de 356.000 de ese token en Ethereum en ese momento.

Posteriormente, el atacante intercambió todas las fichas por aproximadamente 108,2 ETH a través del Odos Router y el pool de liquidez Uniswap V4, transfiriéndolo a la cuenta externa del atacante, realizando una ganancia de aproximadamente 237.000 dólares según el precio de ese momento, con todo el ataque consumiendo solo alrededor de 0,74 dólares en tarifas de gas.

BlockSec Phalcon también mencionó que había habido un ataque previo utilizando el mismo método, dirigido a los tokens MANTA y CERE, resultando en una pérdida de aproximadamente 12.000 dólares. La pérdida total de ambos ataques ascendió a aproximadamente 242.000 dólares.

Después del incidente, los principales intercambios surcoreanos Upbit y Bithumb anunciaron la suspensión de los servicios de depósito y retiro para DOT y la red AssetHub de Polkadot para prevenir posibles riesgos de depósitos falsos.

Los funcionarios de Polkadot declararon que esta vulnerabilidad solo afecta a los DOT puenteados a Ethereum a través de Hyperbridge y no impacta a los activos DOT dentro del ecosistema de Polkadot o a los DOT transferidos a través de otros puentes de cadena cruzada. Polkadot y sus parachains, así como el DOT nativo, permanecen seguros y no afectados. Actualmente, Hyperbridge ha sido suspendido para investigar el problema.

Cabe mencionar que, aunque la escala de acuñación alcanzó 1.000 millones, la pérdida real fue mucho menor que la cifra teórica. Debido a la liquidez en cadena extremadamente limitada de los DOT envueltos en Ethereum, la venta concentrada de 1.000 millones de tokens hizo que el precio de los DOT envueltos cayera instantáneamente de 1,22 dólares a 0,00012831 dólares, una caída del 99,98%, haciendo que la mayoría de los tokens fueran ineficaces para la liquidación.

Según los datos de CoinMarketCap, el precio del token nativo DOT también cayó brevemente casi un 5% debido al sentimiento del mercado.

Los usuarios en X afirmaron de manera sincera que quién habría pensado que el mito del cruce de cadenas DOT, que una vez estuvo al lado de Ethereum, explotaría en las redes sociales de esta manera. Los puentes entre cadenas se han convertido una vez más en el "talón de Aquiles" del mundo cripto, transformándose de un área previamente descuidada en una escena de devastación. Cuando aparecieron 1.000 millones de DOT de la nada, todos los indicadores técnicos se volvieron inútiles.

Algunos usuarios comentaron en tono de broma que la baja liquidez salvó a Polkadot esta vez, manteniendo la pérdida real en torno a los 237.000 dólares.

Sin embargo, la baja liquidez de los activos puenteados, aunque limita las ganancias del hacker, expone las posibles vulnerabilidades de la capa de interoperabilidad entre cadenas.

Se informa que Hyperbridge, desarrollado por Polytope Labs, es un proyecto de interoperabilidad entre cadenas dentro del ecosistema de Polkadot, que ha confiado durante mucho tiempo en pruebas criptográficas en lugar de comités de firma múltiple como su mecanismo de seguridad central, posicionándose como una infraestructura de cruce de cadenas minimizada en confianza. El proyecto había enfatizado previamente su resistencia a los ataques comunes de puentes.

Pero este incidente puede indicar que la integridad del mecanismo de prueba criptográfica por sí sola no es suficiente para garantizar la seguridad; la lógica de implementación específica del contrato Gateway en el lado de Ethereum también constituye una superficie de ataque.

Desde una perspectiva más amplia, este incidente refleja la grave situación de seguridad en DeFi desde 2026. Este año han ocurrido varios ataques significativos, incluyendo a Venus generando 2,15 millones de dólares en deuda mala debido a la manipulación de precios, a Resolve sobre-emitiendo 80 millones de USR, y a Drift siendo hackeado por más de 285 millones de dólares en activos, con diversos métodos de ataque y un amplio rango de áreas afectadas.

Tomar el control de los derechos de emisión para una emisión ilimitada no es un nuevo modelo de ataque. Sin embargo, debido a la liquidez extremadamente baja de Hyperbridge, las pérdidas se minimizaron inesperadamente.

Según los datos de CertiK, hubo 46 incidentes de seguridad registrados solo en marzo, con pérdidas totales de aproximadamente 39,8 millones de dólares, marcando el récord mensual más alto desde noviembre de 2024. CertiK también señaló que la frecuencia de explotación de vulnerabilidades de código ha aumentado, posiblemente relacionado con el auge de herramientas de descubrimiento de vulnerabilidades asistidas por IA.

El aumento en la frecuencia de ataques también está llevando a la industria a reexaminar los límites de la seguridad y la regulación. El Director de Estrategia de Circle, Dante Disparte, había hecho un llamado anteriormente para que los protocolos, billeteras, intercambios y emisores de stablecoins consideraran la seguridad y la responsabilidad como una obligación compartida en respuesta al incidente de robo del Protocolo Drift, sugiriendo que los protocolos DeFi podrían desarrollar medidas de protección técnica en cadena haciendo referencia a los mecanismos de cortocircuito del mercado tradicional y promover legislación relevante para incorporar derechos de propiedad y estándares de protección de la privacidad financiera en la ley antes de que ocurra el próximo gran incidente.