¿El robo más absurdo en el mundo de las criptomonedas? Un hacker acuñó 1,000 millones de dólares en DOT, pero solo robó 230,000 dólares

Los hackers aprovecharon una vulnerabilidad en el puente de cadena cruzada Hyperbridge, forjando de la nada 1,000 millones de tokens DOT, con un valor nominal de 1,19 mil millones de dólares, pero debido a la grave falta de liquidez en el mercado, solo lograron convertir aproximadamente 237,000 dólares en ETH.

Los ataques en criptomonedas son cada vez más frecuentes, pero casos como este de “arriesgar mucho para ganar poco” son realmente raros. Hoy (13), temprano, un hacker utilizó una vulnerabilidad en el puente de cadena cruzada Hyperbridge para forjar de la nada 10 millones de tokens Polkadot (DOT) en Ethereum, con un valor nominal de hasta 1,19 mil millones de dólares. Sin embargo, cuando intentó vender estos tokens, debido a la severa falta de liquidez, solo pudo obtener aproximadamente 23,7 mil dólares en ETH.

Es importante aclarar que el objetivo del ataque fue el “contrato inteligente del puente de cadena cruzada”, por lo que los tokens DOT nativos en la red principal de Polkadot no se vieron afectados. La causa principal de esta vulnerabilidad fue que el contrato EthereumHost de Hyperbridge no verificó correctamente la autenticidad de los mensajes antes de transmitir la información de la cadena cruzada a TokenGateway.

Fuente de la imagen: X/@OnchainLens

El puente de cadena cruzada siempre ha sido la parte más vulnerable de la arquitectura blockchain, ya que poseen permisos de gestión sobre los contratos de tokens. Si el mecanismo de verificación tiene una brecha, los hackers pueden obtener fácilmente el poder de acuñar tokens ilimitados.

Método de ataque: falsificación de mensajes, toma de control, acuñación ilimitada

El rastreo en la cadena muestra que el hacker envió un mensaje falsificado a través de dispatchIncoming, logrando dirigirlo a TokenGateway.onAccept. El sistema debería verificar la autenticidad del mensaje en función del estado en la cadena de Polkadot, pero el mecanismo de verificación registró el valor de la promesa como “cero”, lo que significa que el proceso de verificación fue completamente eludido o simplemente no existió, por lo que el sistema interpretó erróneamente este mensaje falso como una orden legítima.

El mensaje aceptado inmediatamente ejecutó la función changeAdmin en el contrato de tokens puente de Polkadot, transfiriendo los derechos de administrador a la dirección del atacante. Tras obtener el control, el atacante acuñó 1,000 millones de DOT en una sola transacción y, mediante Odos Router V3, depositó estos tokens en el pool de intercambio DOT-ETH de Uniswap V4. Después de realizar varias conversiones a precios ligeramente diferentes, finalmente retiró aproximadamente 108.2 ETH.

“La falta de liquidez” se convierte en escudo protector

En los mercados financieros, la “falta de liquidez” suele ser un problema muy molesto para los grandes inversores, pero irónicamente, en esta ocasión, la escasez de liquidez actuó como un escudo invisible, limitando en gran medida las ganancias del hacker.

Debido a que la profundidad de liquidez de DOT en Ethereum es extremadamente limitada, no puede absorber los 1,000 millones de tokens creados de la nada. Cuando el hacker intentó venderlos rápidamente, el impacto en el precio fue tan severo que el valor real de cada token cayó por debajo de un centavo de dólar.

En un puente con mayor profundidad de liquidez o con activos de mayor valor, la misma vulnerabilidad probablemente habría causado pérdidas varias decenas de veces mayores. Hasta el momento de redactar, el precio de DOT en el mercado es de aproximadamente 1.17 dólares, con una caída del 5% en las últimas 24 horas.

Este incidente vuelve a demostrar que, incluso si un hacker tiene el poder de acuñar tokens ilimitados, el éxito en obtener beneficios depende en última instancia de la liquidez y la profundidad del mercado. La reconocida firma de seguridad blockchain CertiK confirmó posteriormente el ataque y afirmó que el hacker obtuvo unas ganancias de aproximadamente 237,000 dólares mediante la acuñación y venta de los tokens puente.

Hasta ahora, la oficina oficial de Hyperbridge no ha emitido ninguna declaración pública sobre el incidente.

Fuente de la imagen: X/@CertiKAlert

• Este artículo ha sido reproducido con autorización de: 《BlockTalk》
• Título original: 《¿El peor robo? Hacker acuña 1,000 millones de dólares en $DOT, y solo roba 23,000 dólares por “esta razón”》
• Autor original: BlockGirl MEL