Consecuencias del hackeo de Polkadot: la emisión de Hyperbridge genera 1 mil millones de DOT puenteados en Ethereum

Las cuestiones de seguridad resurgieron en los mercados cripto después del reciente incidente de hackeo de polkadot en el gateway de Ethereum de Hyperbridge, lo que provocó una respuesta oficial del equipo de la red.

Polkadot aclara el impacto del exploit de Hyperbridge

El 13 de abril de 2026, Polkadot emitió una declaración pública abordando un incidente de seguridad que afectó el contrato del gateway de Ethereum utilizado por Hyperbridge. El proyecto confirmó que solo el DOT puenteado en Ethereum se había visto comprometido, mientras que los activos principales de la red permanecieron intactos.

El equipo declaró: "Somos conscientes de un problema que afecta al contrato del gateway de Ethereum de Hyperbridge". Sin embargo, la actualización enfatizó que el problema tenía un alcance limitado y no se extendía a toda la red de Polkadot o su cadena de retransmisión.

Además, Polkadot enfatizó: "El exploit solo afecta al DOT en Ethereum que está puenteado a través de Hyperbridge y no afecta al DOT en el ecosistema de Polkadot, ni al DOT puenteado a través de otros puentes entre cadenas". Esta aclaración tenía como objetivo trazar una línea clara entre los tokens afectados y los activos nativos.

Por lo tanto, el evento no impactó el DOT nativo en la cadena de retransmisión, paracadenas u otros ecosistemas conectados a Polkadot. Sin embargo, el sentimiento del mercado se volvió negativo. El precio de DOT cayó un 4.77% a $1.16 al momento de la publicación, subrayando una clara caída del precio de DOT vinculada al susto de seguridad.

Hyperbridge pausa operaciones y revela cifras de pérdidas

Como precaución, los servicios de puenteo vinculados al contrato comprometido fueron suspendidos inmediatamente. Polkadot señaló que "Hyperbridge ha sido pausado mientras se investiga el problema", señalando un movimiento urgente para contener posibles daños adicionales.

Además, Hyperbridge publicó un informe detallado del incidente explicando el exploit y sus consecuencias. Declaró: "El 13 de abril de 2026, se explotó una vulnerabilidad en el Token Gateway de Hyperbridge, resultando en aproximadamente $237,000 en pérdidas en Ethereum". Esta cifra representa el impacto financiero directo identificado hasta ahora.

La plataforma enfatizó que muchos sistemas cross-chain hoy en día dependen de conjuntos de validadores o aprobaciones multifirma. Sin embargo, tales diseños introducen supuestos de confianza estructurales que pueden ser abusados. Hyperbridge señaló que estos modelos han contribuido colectivamente a más de $2 mil millones en pérdidas acumuladas de puentes entre cadenas en toda la industria.

Dicho esto, el proyecto argumentó que su propia arquitectura fue diseñada para reducir estos riesgos de seguridad cross-chain al favorecer pruebas criptográficas de la blockchain subyacente, en lugar de depender de grupos centralizados de aprobadores humanos o institucionales.

Dentro del bug de verificación de Merkle Mountain Range

Hyperbridge explicó que su sistema intenta reducir las amenazas de falsificación de tokens puenteados al anclar la seguridad en la verificación criptográfica. Sin embargo, el informe deja claro que el exploit no se originó en un fallo conceptual de su enfoque criptográfico.

En cambio, la investigación encontró que la causa raíz fue una vía de falsificación de pruebas en la implementación de Hyperbridge. Específicamente, se descubrió un error en la lógica de verificación de pruebas de Merkle Mountain Range basada en Solidity utilizada por el contrato del gateway de Ethereum.

Según el informe, este error de merkle mountain range surgió en la implementación del verificador de Árbol de Merkle que intentó reflejar la lógica upstream de Polkadot. Sin embargo, el fallo llevó al sistema a tratar ciertas pruebas inválidas como válidas, rompiendo las garantías de seguridad previstas.

Fue este fallo de verificación el que permitió que un mensaje malicioso pasara los controles de seguridad. Como resultado, el atacante obtuvo efectivamente control a nivel administrativo sobre el contrato de token DOT puenteado en Ethereum, abriendo la puerta a una extensa creación de tokens.

Cómo se creó y vendió el falso 1 mil millones de DOT puenteado

Una vez que el atacante obtuvo este acceso elevado, procedió con lo que los investigadores describen como acuñación de DOT puenteado a gran escala. El explotador acuñó 1 mil millones de tokens DOT puenteados, aprovechando el contrato comprometido para eludir los límites normales de emisión.

Este suministro recién creado empequeñeció el DOT puenteado legítimo en circulación en Ethereum, que se situaba en aproximadamente 356,000 tokens. En términos numéricos, la emisión falsa superó el suministro circulante real en más de 2,800 veces, destacando la gravedad de la vulnerabilidad del puente entre cadenas de Ethereum.

Sin embargo, el atacante no mantuvo la posición por mucho tiempo. El informe señala que los tokens falsificados fueron rápidamente transferidos a exchanges descentralizados y lugares de trading similares. Allí, fueron vendidos al mercado, convirtiendo el exploit en fondos líquidos.

En su comunicación, Polkadot enmarcó el evento como un serio fallo de infraestructura de terceros, en lugar de un fallo de la red principal en sí. Sin embargo, el hackeo de polkadot ha reavivado el debate sobre la fragilidad de las arquitecturas de puentes entre cadenas y su papel en la interoperabilidad cross-chain.

Investigación en curso y próximos pasos

Además, Hyperbridge confirmó que está trabajando estrechamente con sus socios de seguridad para rastrear el movimiento de los fondos robados en la cadena. El equipo también está evaluando posibles vías de recuperación de activos y estrategias de mitigación para abordar el daño financiero.

Hyperbridge se comprometió a compartir más detalles del exploit de hyperbridge a medida que continúa la investigación y se descubren nuevas evidencias. Sin embargo, no se ha proporcionado un cronograma concreto para la reapertura completa de los servicios de puenteo o para cualquier proceso de restitución.

Por ahora, el puenteo a través de Hyperbridge permanece detenido mientras los equipos técnicos revisan la implementación de pruebas de Merkle, la lógica del contrato y los sistemas de monitoreo de riesgos en tiempo real. Esta pausa tiene como objetivo garantizar que vectores de falsificación de pruebas similares no puedan ser explotados nuevamente a través de la misma vía.

En resumen, el incidente expuso una debilidad crítica en un componente orientado a Ethereum del ecosistema de Polkadot, lo que llevó a una pérdida de $237,000 y un golpe a corto plazo a la confianza del mercado. Sin embargo, el DOT nativo, las paracadenas y la infraestructura de la cadena de retransmisión no fueron vulnerados, subrayando que el modelo de Verificación de seguridad del protocolo central permanece intacto a pesar del fallo de Hyperbridge.