Un hacker explotó una vulnerabilidad del puente cross-chain Hyperbridge para acuñar en el momento 1.000 millones de tokens DOT de la nada. Aunque su valor nominal alcanzó los 1190 millones de dólares, debido a una liquidez extremadamente insuficiente en el mercado, finalmente solo logró retirar unos 237.000 dólares en efectivo.
Los incidentes de ataques de criptomonedas no dejan de suceder, pero casos como este de «correr grandes riesgos para ganar poco dinero» realmente no se ven a menudo. Hoy (13), un poco antes, un hacker utilizó una vulnerabilidad del puente cross-chain Hyperbridge para acuñar 1.000 millones de tokens de Polkadot (DOT) de la nada en Ethereum. El valor nominal fue de hasta 1190 millones de dólares. Sin embargo, cuando intentó vender esos tokens, debido a una liquidez gravemente insuficiente, finalmente solo pudo intercambiarlos por unos 237.000 dólares en ether.
Lo que hay que aclarar es que el objetivo del ataque del hacker era el «contrato inteligente del puente cross-chain», por lo que el token nativo DOT de la red principal de Polkadot no se vio afectado. La causa principal de esta vulnerabilidad fue que el contrato EthereumHost de Hyperbridge, antes de transmitir los mensajes cross-chain a TokenGateway, no verificó correctamente la autenticidad del mensaje.
Fuente de la imagen: X/@OnchainLens
Los puentes cross-chain siempre han sido el eslabón más frágil de la arquitectura blockchain, porque tienen permisos de administración sobre los contratos de tokens. Una vez que se abre una brecha en el mecanismo de verificación, los hackers pueden obtener fácilmente el poder de acuñar tokens de forma ilimitada.
Método de ataque: falsificar mensajes, arrebatar permisos de administración, acuñar monedas de forma ilimitada
El rastreo on-chain muestra que el hacker envió un mensaje falsificado mediante dispatchIncoming y logró encaminarlo a TokenGateway.onAccept. El sistema original debería haber verificado la autenticidad de ese mensaje según el estado en la cadena de Polkadot, pero el mecanismo de verificación registró el valor del compromiso como «todo ceros». Esto significa que el proceso de verificación se evitó por completo o directamente no existía, por lo que el sistema trató por error ese mensaje falso como una instrucción legítima.
El mensaje aceptado se ejecutó de inmediato para la función changeAdmin del contrato del puente de tokens de Polkadot, transfiriendo los permisos de administrador a la dirección del atacante. Después de obtener el control administrativo, el atacante acuñó 1.000 millones de tokens DOT en una sola transacción. Y luego, mediante Odos Router V3, inyectó esos tokens en el pool de transacciones DOT-ETH de Uniswap V4. Tras realizar múltiples intercambios a precios ligeramente diferentes, finalmente extrajo unos 108,2 ethers.
«Liquidez insuficiente» que al final se convierte en un escudo
En los mercados financieros, «liquidez insuficiente» suele ser el dolor de cabeza número uno para las grandes ballenas, pero irónicamente, esta vez la «liquidez insuficiente» terminó siendo un escudo invisible: limitó de forma significativa el espacio de ganancia del hacker.
Debido a que la profundidad de liquidez de DOT en Ethereum es extremadamente limitada, no había forma de absorber estos 1.000 millones de tokens que surgieron de la nada. Cuando el hacker quiso deshacerse rápidamente de ellos y hacer caja, el severo deslizamiento hizo que el precio real de cada token ni siquiera llegara a 1 centavo.
Si esto ocurriera en un puente que conecta activos con mayor liquidez o de mayor valor, la misma vulnerabilidad probablemente causaría pérdidas decenas de veces mayores. Al momento de redactar este informe, el precio de las transacciones DOT es de aproximadamente 1,17 dólares, y en las últimas 24 horas ha caído 5%.
Esta vez, el incidente vuelve a demostrar algo: aunque el hacker tenga «poder de acuñación ilimitada», la posibilidad de ejecutar con éxito arbitraje al final depende de la liquidez del mercado y la profundidad de las operaciones. La conocida firma de ciberseguridad blockchain CertiK confirmó posteriormente el incidente de ataque y señaló que el hacker obtuvo un beneficio de aproximadamente 237.000 dólares mediante la acuñación y la venta de tokens puenteados.
Hasta ahora, la oficial Hyperbridge no ha emitido ningún comentario público sobre el incidente del hacker.
Fuente de la imagen: X/@CertiKAlert
- Este artículo se reproduce con autorización de: 《Block客》
- Título original: 《¿El robo más absurdo? El hacker acuña $DOT por 1.000 millones de dólares y, por «esta razón», solo roba 230.000 dólares》
- Autor original: 区块妹 MEL
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
Ethereum Foundation: El programa Ketman identifica a 100 agentes norcoreanos en seis meses
Según un informe de revisión del programa ETH Rangers publicado el 17 de abril de 2026 (jueves) por la Ethereum Foundation, el programa Ketman financiado por la Ethereum Foundation identificó, durante un periodo de subvención de seis meses, a 100 trabajadores informáticos norcoreanos que se infiltraron en organizaciones Web3 utilizando identidades falsas, y se puso en contacto con aproximadamente 53 proyectos cripto, advirtiéndoles de que podrían haber contratado agentes norcoreanos activos.
MarketWhisperHace10m
El exchange cripto de Kirguistán Grinex recibe un hack de $15M , exponiendo una red para evadir sanciones a Rusia
Un ciberataque a Grinex, un exchange de criptomonedas de Kirguistán, expuso una red presuntamente implicada en ayudar a Rusia a evadir sanciones. Los hackers robaron $15 millones, apuntando a Grinex y al TokenSpot vinculado. Grinex, visto como una continuación del Garantex sancionado, enfrenta un escrutinio por facilitar transacciones vinculadas a entidades sancionadas.
GateNewshace1h
Polymarket audita el inicio de startups del Programa de Creadores por preocupaciones de uso de información privilegiada - Unchained
Polymarket ha iniciado una auditoría de su Programa de Creadores después de detectar herramientas de terceros que podrían facilitar el uso de información privilegiada al imitar operaciones exitosas. La revisión surge tras el escrutinio sobre un posible abuso de mercado vinculado a estas aplicaciones.
UnchainedCryptohace1h
CoW Swap 因 DNS 劫持导致前端跳转到恶意站点而暂停协议 - Unchained
CoW Swap 撤停了其协议,于 2026 年 4 月 14 日在一次 DNS 劫持将用户重定向到钓鱼网站之后。该平台的安全公司提醒用户撤销钱包授权。底层智能合约是安全的,但作为预防措施,后端和 API 被暂停。
UnchainedCryptohace1h
Circle 遭 Drift 集体诉讼,USDC 冻结义务引法律争议
由 Drift Protocol 投资者 Joshua McCollum 代表逾 100 名成员,于周三在美国马萨诸塞州地方法院向 Circle 提起诉讼,指控后者于 4 月 1 日 Drift Protocol 约 2.8 亿美元被盗事件中,允许攻击者通过跨链传输协议将约 2.3 亿美元 USDC 转移至以太坊。
MarketWhisperhace3h
Tether congela 3,29M de USDT en la dirección del hacker de Rhea Finance
El CEO de Tether, Paolo Ardoino, anunció la congelación de 3,29 millones de USDT vinculados a un hacker relacionado con el robo de 7,6 millones de dólares de Rhea Finance debido a un ataque mediante un contrato de token falso.
GateNewshace4h
