Hyperbridge pausa su protocolo tras exploit que permitió acuñar USD $1.200 millones en DOT falsos

Hyperbridge, un puente cripto vinculado al ecosistema Polkadot, pausó su operación después de que un atacante explotara un fallo de código para acuñar mil millones de tokens DOT sin respaldo en Ethereum. Aunque el valor teórico del golpe rondaba los USD $1.200 millones, la escasa liquidez redujo el botín real a poco más de USD $237.000 en Ether.
***

• El atacante engañó a Hyperbridge para crear mil millones de DOT sin depositar fondos equivalentes.
• Pese al valor teórico de USD $1.200 millones, solo logró vender los tokens por más de USD $237.000 en Ether.
• Polytope Labs pausó el protocolo mientras investiga el fallo, y Parity afirmó que no hay evidencia de una vulnerabilidad en el núcleo de Polkadot.

 

---

Hyperbridge, un puente cripto lanzado sobre Polkadot en noviembre de 2024, quedó en pausa tras una explotación que permitió a un atacante acuñar tokens sin respaldo y vender una parte en el mercado. El incidente volvió a poner el foco sobre uno de los riesgos más conocidos del ecosistema DeFi: la seguridad de los puentes entre blockchains.

De acuerdo con reportes de expertos en seguridad citados por DL News, el atacante logró engañar al protocolo para crear mil millones del token DOT de Polkadot en la red de Ethereum. Sobre el papel, ese volumen equivalía a cerca de USD $1.200 millones, pero la liquidez disponible impidió monetizar una suma similar.

Los registros onchain muestran que el hacker vendió esos tokens a través del exchange descentralizado Uniswap y obtuvo poco más de USD $237.000 en Ether. La enorme diferencia entre el valor teórico de la emisión fraudulenta y el monto finalmente extraído refleja un límite frecuente en estos ataques: no basta con crear activos, también hace falta un mercado capaz de absorberlos.

Seun Lanlege, fundador de Polytope Labs, la firma detrás de Hyperbridge, indicó que el protocolo fue pausado mientras el equipo trabaja en una corrección. Por ahora, el proyecto intenta contener el impacto técnico y reputacional de una falla que sacudió a usuarios y observadores del ecosistema de Polkadot.

Para los lectores menos familiarizados con este tipo de infraestructura, un puente cripto permite mover activos o representaciones de activos entre redes que no están conectadas de forma nativa. En la práctica, estos sistemas dependen de validaciones complejas para asegurar que un usuario solo pueda retirar en una cadena el equivalente a lo que depositó en otra.

Ese diseño los vuelve especialmente sensibles a errores de implementación, firmas inválidas o mensajes falsificados. Cuando una de esas capas falla, el resultado puede ser la emisión de tokens no respaldados, como ocurrió en este caso, sin necesidad de quebrar el protocolo base de la blockchain involucrada.

Según el análisis preliminar de BlockSec, la causa raíz parece estar en la falsificación de los mensajes que Hyperbridge utiliza para verificar retiros y emisiones entre cadenas. El atacante habría encontrado una forma de forjar esos mensajes y, con ello, convencer al sistema de que existía un depósito previo equivalente, cuando en realidad no lo había.

Esa maniobra le permitió hacer que el protocolo acuñara mil millones de tokens DOT en Ethereum sin bloquear la misma cantidad en el puente. En otras palabras, el exploit no consistió en drenar una reserva preexistente de DOT depositados por usuarios, sino en fabricar una representación sintética carente de respaldo real.

La distinción es importante porque ayuda a entender por qué el botín teórico fue tan alto y el efectivo mucho menor. Un activo falso puede mostrar un valor nominal gigantesco, pero si el mercado detecta rápidamente la anomalía o no existe liquidez suficiente, convertirlo en dinero utilizable se vuelve mucho más difícil.

Un portavoz de Parity Technologies, uno de los desarrolladores de Polkadot, dijo a DL News que, con base en la información disponible hasta ahora, el incidente no apunta a una vulnerabilidad del protocolo, del consenso o del código central auditado de Polkadot. Esa aclaratoria busca separar la falla del puente de la seguridad del núcleo de la red.

La reacción del mercado, sin embargo, no se hizo esperar. El token DOT cayó alrededor de 5% en las 24 horas posteriores al incidente, una señal de que, aun cuando el problema no radique en la blockchain principal, los inversionistas suelen castigar la percepción de riesgo que rodea a su ecosistema.

El caso también revive una discusión más amplia sobre los puentes cripto, que durante años fueron considerados entre los componentes más vulnerables de las finanzas descentralizadas. Aunque la frecuencia de estos ataques ha bajado frente al pico observado en ciclos anteriores, muchos de los compromisos de diseño que los vuelven frágiles siguen presentes.

Un viejo problema de DeFi que sigue sin desaparecer

La historia reciente del sector ofrece varios precedentes. En 2022, un atacante explotó una falla en Wormhole, un puente que conectaba Solana con varias otras blockchains, y robó cerca de USD $322 millones. Al igual que en el caso de Hyperbridge, el mecanismo central del ataque permitió crear tokens falsos mediante una validación defectuosa.

Solo un mes más tarde, hackers norcoreanos robaron unos USD $625 millones de un puente que conectaba la blockchain Ronin con Ethereum. En ese episodio, la mecánica fue distinta: no se trató de mensajes falsificados, sino del acceso a claves privadas que controlaban la infraestructura del puente.

Ambos casos dejaron una lección dura para la industria. Los puentes tienden a concentrar riesgo porque actúan como puntos de coordinación entre sistemas distintos, con supuestos de seguridad, software y modelos de confianza que no siempre encajan de forma perfecta.

Eso explica por qué incluso una vulnerabilidad localizada puede generar efectos amplios. Cuando un puente falla, no solo se compromete una aplicación concreta, también puede verse afectada la percepción del ecosistema al que sirve, especialmente si conecta redes relevantes como Polkadot y Ethereum.

Los datos del sector muestran que los exploits de código siguen representando una amenaza seria. Slowmist, una firma de seguridad blockchain, reportó que durante el año pasado los hackers robaron más de USD $649 millones mediante este tipo de ataques. La cifra ilustra que el problema dista de estar resuelto, incluso en un entorno más maduro.

Ni siquiera los protocolos con trayectoria han quedado a salvo. Balancer, cuyo código había estado activo en Ethereum desde 2021, perdió USD $128 millones en noviembre después de que un hacker explotara una falla. El antecedente refuerza la idea de que la antigüedad de un protocolo no garantiza inmunidad frente a errores lógicos o vectores novedosos.

Hyperbridge, Polytope Labs y las dudas sobre la nueva ola de amenazas

Hyperbridge fue creado por Seun Lanlege y el cofundador David Salami a través de Polytope Labs, una firma de investigación blockchain con sede en Lagos que comenzó en 2023. El protocolo fue concebido para facilitar el envío de activos entre cadenas no conectadas, una función valiosa para usuarios que operan en varios ecosistemas.

Su lanzamiento en Polkadot, en noviembre de 2024, lo ubicó como una pieza prometedora dentro de la infraestructura de interoperabilidad. Sin embargo, precisamente ese tipo de herramientas suele exigir altos estándares de verificación, ya que un error menor en la lógica de mensajes puede escalar muy rápido.

La explotación ocurre además en un momento de creciente inquietud entre desarrolladores y firmas de seguridad. En los últimos meses, participantes del mundo DeFi han expresado temor a que los atacantes estén usando cada vez más inteligencia artificial para encontrar vulnerabilidades en protocolos, acelerar auditorías ofensivas y detectar fallas antes que los equipos defensivos.

Aunque en este caso no se ha presentado evidencia de que se utilizara IA para ejecutar o descubrir el exploit, el contexto alimenta la preocupación del sector. La combinación entre software complejo, interoperabilidad y automatización ofensiva podría elevar la presión sobre proyectos pequeños y medianos con recursos limitados de seguridad.

Por ahora, la prioridad para Polytope Labs será corregir el fallo, esclarecer la secuencia exacta del ataque y restaurar la confianza. También será clave determinar si existieron usuarios afectados de forma indirecta y qué salvaguardas adicionales pueden implementarse para prevenir la repetición de una falsificación de mensajes similar.

El episodio deja una conclusión incómoda pero conocida en cripto. La capacidad de conectar redes sigue siendo una de las promesas más importantes de Web3, pero cada puente introduce nuevas superficies de ataque. Mientras esa tensión no se resuelva con diseños más robustos, los incidentes como el de Hyperbridge seguirán recordando que la interoperabilidad también tiene un costo en seguridad.

---

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.