Exploit del puente de Polkadot emite 1 mil millones de tokens DOT en Ethereum

Se descubrió una falla de seguridad crítica el 13 de abril de 2026 en la pasarela cross-chain Hyperbridge que conecta Polkadot y Ethereum. Según la firma de seguridad CertiK, un atacante explotó una vulnerabilidad de repetición en la verificación de pruebas del Merkle Mountain Range, lo que permitió un acceso administrativo no autorizado al contrato DOT puenteado en Ethereum. El atacante acuñó mil millones de tokens DOT falsos y ejecutó una única transacción de intercambio, convirtiendo todo el suministro en aproximadamente 108,2 ETH (aprox. 237.000 dólares), antes de que limitaciones de liquidez impidieran ventas adicionales. El precio del DOT puenteado se desplomó de alrededor de $1,22 a fracciones de un centavo en los pools impactados, provocando una caída del 5% en el precio de DOT en las principales plataformas, antes de una recuperación parcial.

Los datos en cadena indican que la explotación ocurrió aproximadamente a las 05:05 UTC, cuando pruebas de compromiso de estado falsificadas pasaron por alto las verificaciones de autenticación en la función tokengateway.handleChangeAdmin. Esta falla permitió al atacante asumir el rol de administrador del contrato ERC-20 DOT envuelto en Ethereum y generar un suministro de tokens ilimitado. A pesar de la escala de la acuñación, la baja liquidez en los intercambios descentralizados limitó las ganancias del atacante a menos de $250.000. La cadena principal de relé de Polkadot siguió siendo segura y los tokens DOT nativos no se vieron afectados por la brecha. Los desarrolladores y auditores están priorizando parches para imponer controles estrictos del rol de administrador y resolver la vulnerabilidad de replay.

Las plataformas de análisis en cadena líderes como CoinGecko registraron que el precio de DOT pasó de $1,23 a un mínimo de $1,17 en los minutos posteriores a la explotación, para luego estabilizarse alrededor de $1,19. Los desarrolladores de Hyperbridge se han comprometido a colaborar con CertiK y expertos en seguridad de blockchain para realizar una revisión post-mortem completa, parchear el contrato de gateway e implementar salvaguardas de gobernanza adicionales. La comunidad de Polkadot también está revisando las recientes medidas de gobernanza de tope de suministro, subrayando la necesidad de auditorías de seguridad integrales en soluciones entre cadenas que se basan en pruebas criptográficas. Este incidente destaca el riesgo persistente de vulnerabilidades en puentes y la importancia de una verificación formal rigurosa en el desarrollo de contratos inteligentes.