¡Increíble hack! Así se crearon 1.000 millones de tokens DOT de la nada en Ethereum

El 13 de abril un hacker se la rifó y encontró una falla en el contrato inteligente del puente Hyperbridge, que conecta la red Polkadot con Ethereum. Gracias a eso, pudo crear 1,000 millones de tokens DOT en Ethereum de la nada. Después del ataque, el hacker cambió esos DOTs por 108 ethers, que son como 237,000 dólares, antes de que cerraran el puente.

El equipo de CertiK Alert explicó que el hacker usó una trampa bien astuta: reutilizó una prueba criptográfica vieja de una transacción legítima. En los puentes entre cadenas, las pruebas son como certificados digitales que dicen “sí, esto pasó realmente”. Pero el sistema de Hyperbridge tenía un error: a veces aceptaba estas pruebas viejas para operaciones nuevas que no tenían nada que ver. Con esa prueba falsa, el atacante se hizo pasar por un admin y agarró el control del contrato del token DOT en Ethereum.

Hyperbridge es un protocolo que ayuda a mover activos de una red a otra bloqueando el activo en una cadena y creando su equivalente en otra. En este caso, permitía pasar DOT de Polkadot a Ethereum.

Por otro lado, los de BlockSec, que se dedican a checar estas cosas, dijeron que la falla estaba en que el contrato inteligente no veía si la posición de un mensaje era válida dentro de una lista numerada que usaban para verificar todo. Al mandar un valor específico abusando de eso, el sistema dejaba pasar mensajes falsos sin revisar lo que realmente decían. Básicamente, podían falsificar mensajes como si fueran legítimos.

Aunque el hacker creó tokens por mil millones de dólares, la ganancia real fue menor. Esto porque el DOT que se movió a Ethereum no tenía mucha liquidez en los intercambios descentralizados. Cuando el atacante trató de vender todo de golpe, el precio se cayó en picada por la cantidad, y solo pudo agarrar los 108 ethers que había disponibles en ese momento.

Desde la cuenta oficial de Polkadot aclararon que este ataque solo afectó los DOT que se movieron a Ethereum vía Hyperbridge, no al DOT original que sigue seguro en Polkadot ni a los que están en otros puentes. En resumen: Polkadot y sus parachains están a salvo.

Finalmente, Hyperbridge confirmó que el puente afectado entre Polkadot y Ethereum sigue pausado y no saben cuándo lo van a reactivar, aunque el resto de sus conexiones con otras redes siguen funcionando sin broncas.