Certik informó de una vulnerabilidad significativa en la pasarela Hyperbridge, que permitió al autor acuñar 1000 millones de tokens DOT no autorizados en la red Ethereum. Puntos clave:
El precio de Polkadot cae un 6 % tras una filtración de 1000 millones de tokens en Ethereum
ESCRITO POR
COMPARTIR
- Un hacker aprovechó un fallo de repetición para acuñar 1000 millones de tokens Polkadot falsos a través de la pasarela Hyperbridge.
- El precio del DOT cayó un 6 % hasta los 1,16 dólares antes de recuperarse, mientras que el hacker obtuvo 237 000 dólares en ether.
- Se espera que los desarrolladores de Hyperbridge implementen ahora parches para proteger las funciones administrativas de los contratos inteligentes.
El cuello de botella de liquidez limita las pérdidas
El 13 de abril, la empresa de seguridad de blockchain Certik alertó a la comunidad de criptomonedas de un exploit relacionado con la pasarela Hyperbridge, en el que un actor malintencionado acuñó 1000 millones de tokens Polkadot no autorizados en la red Ethereum. Tras el incidente, el precio del DOT se desplomó brevemente de 1,23 $ a 1,16 $, una caída de casi el 6 %. Sin embargo, en el momento de redactar este artículo, el token había recuperado parte de esas pérdidas, situándose en 1,19 $.
Según los datos on-chain y los informes de seguridad, el atacante aprovechó una vulnerabilidad en el contrato inteligente de la pasarela Hyperbridge. Mediante el uso de un mensaje falsificado para obtener privilegios administrativos sobre el contrato DOT puenteado en Ethereum, el autor desencadenó una única transacción que generó los 1000 millones de tokens. A pesar de la gran cantidad de tokens creados, el atacante no pudo liquidarlos a su valor de mercado porque la versión puenteada de DOT en Ethereum tenía poca liquidez.
El análisis de Lookonchain confirma que el hacker liquidó la totalidad de los 1000 millones de tokens en un único intercambio. La operación generó aproximadamente 108,2 ether, valorados en unos 237 000 dólares en el momento de la transacción. Si el activo puenteado se hubiera negociado más ampliamente, el impacto financiero podría haber sido sustancialmente mayor.
Los expertos en seguridad se apresuraron a aclarar que la brecha se limitaba a la pasarela Hyperbridge en Ethereum. La cadena de retransmisión principal de Polkadot y los tokens DOT auténticos que residen en la red Polkadot siguen estando seguros y no se vieron afectados por el incidente. En su análisis inicial, Certik afirmó que la vulnerabilidad se debía a una vulnerabilidad de repetición en la función calculateroot de Merkle Mountain Range. Este fallo significaba que las pruebas no se vinculaban correctamente a las solicitudes, lo que permitía a los atacantes reutilizar compromisos de estado antiguos. Más adelante, la función tokengateway.handlechangeadmin no aplicó comprobaciones estrictas, lo que permitió a los atacantes introducir datos de solicitud de forma arbitraria. Como resultado, el código malicioso se propagó sin control por el sistema, lo que finalmente permitió al atacante cambiar el administrador del token de Polkadot. Tal y como señaló Certik:
«El valor de "prueba" enviado por el atacante se copia de los "_stateCommitments" de una transacción anterior… lo que hace posible la repetición». Hyperbridge aún no ha publicado un análisis completo de la falla específica en el contrato inteligente de la pasarela, pero se espera que los desarrolladores implementen parches para evitar exploits similares en el futuro.
