Como aconteceu a Exploração da Ponte Polkadot (Explicação para Iniciantes).

Um atacante explorou uma vulnerabilidade numa ponte entre Polkadot e Ethereum, permitindo-lhe cunhar uma grande quantidade de tokens não garantidos e vendê-los no mercado.
Apesar do enorme fornecimento criado, conseguiu extrair cerca de 240.000 dólares em ETH antes que a liquidez se esgotasse.
Vamos analisar passo a passo como isso foi possível.
O que é uma Ponte Blockchain?
Para entender o que aconteceu, precisamos começar pelos conceitos básicos.
Blockchains como Polkadot e Ethereum são sistemas separados, eles não comunicam naturalmente entre si. Uma ponte é uma ferramenta que os conecta.
Analogia simples:
Imagine dois países com moedas diferentes:
País A = Polkadot
País B = Ethereum
Uma ponte funciona como uma casa de câmbio:
Depositas DOT reais na Polkadot, a ponte bloqueia-os e dá-te “DOT embrulhado” no Ethereum.
Este token embrulhado representa o teu DOT real.
Esse token embrulhado só tem valor se a ponte for segura e confiável.
O que são Provas Criptográficas?
As pontes não confiam nos utilizadores diretamente. Em vez disso, baseiam-se em provas criptográficas.
Uma prova criptográfica é como um recibo matematicamente verificável que diz:
“Este evento realmente aconteceu na outra blockchain.”
Exemplo:
“Usuário bloqueou 100 DOT na Polkadot”
A prova confirma que isto é verdadeiro, e a ponte então emite 100 DOT embrulhados no Ethereum.
Por que isto é seguro?
Porque estas provas baseiam-se em matemática complexa e dados de blockchain, sendo projetadas para serem impossíveis de falsificar.
O que Significa “Forjar”?
Forjar algo na criptografia significa criar uma versão falsa que pareça suficientemente real para enganar o sistema.
Fazer o sistema acreditar que algo aconteceu quando não aconteceu.
É exatamente aqui que as coisas correram mal.
O problema principal neste caso foi que a ponte confiou numa prova falsa,
Em vez de verificar corretamente: “Esta prova é real?”
O sistema basicamente disse: “Parece bom para mim.”
Mas, na realidade, não era.
Como o Atacante Assumiu o Controle
O atacante não apenas falsificou uma transação, mas usou a prova forjada para desencadear uma ação privilegiada dentro do contrato inteligente.
Um contrato inteligente é um programa na blockchain que executa automaticamente regras e controla ativos.
Algumas funções são restritas a administradores apenas.
O que aconteceu aqui?
O atacante submeteu uma prova forjada, e o contrato acreditou que vinha de uma fonte confiável. Como resultado, permitiu a execução de uma função restrita, dando ao atacante privilégios de administrador. Nesse momento, ele tinha controlo total sobre o contrato.
O Ataque:
Com controlo total, o atacante cunhou 1.000.000.000 de tokens de DOT embrulhados falsos no Ethereum. Estes tokens não eram garantidos por DOT real.
Para convertê-los em dinheiro real, usou pools de liquidez no Uniswap.
Trocou os tokens falsos por ETH usando pools onde utilizadores reais tinham depositado fundos.
Esclarecimento importante: Isto não foi uma falha do Uniswap. O Uniswap é permissionless e não verifica se um token é “legítimo” ou se um token existe e tem liquidez. As trocas são executadas automaticamente.
O verdadeiro problema foi a ponte vulnerável (Hyperbridge), que permitiu que tokens inválidos e não garantidos existissem inicialmente.
Onde Aconteceu o Ataque:
O atacante nunca tocou na rede principal da Polkadot.
Tudo aconteceu através de:
Ethereum → onde os tokens falsos foram cunhados e vendidos
Uniswap → onde a liquidez foi drenada
A ponte → onde a vulnerabilidade existia
O Resultado Final:
o atacante extraiu cerca de 108 ETH (~240 mil dólares) antes que a liquidez se esgotasse.