¿El robo más absurdo? Un hacker acuña 1,000 millones de dólares en $DOT, pero por "esta razón" solo roba 230,000 dólares

Los incidentes de ataques con criptomonedas son constantes, pero casos como este de “arriesgar mucho y ganar poco” son realmente poco comunes. Hoy (13) por la mañana, un hacker aprovechó una vulnerabilidad en el puente de cadena cruzada Hyperbridge para crear de la nada 1,000 millones de tokens Polkadot (DOT) en Ethereum, con un valor nominal de hasta 1,190 millones de dólares. Sin embargo, cuando intentó vender estos tokens, debido a la grave falta de liquidez, solo logró obtener aproximadamente 237,000 dólares en ETH.
Es importante aclarar que el objetivo del ataque fue el “contrato inteligente del puente de cadena cruzada”, por lo que los tokens DOT nativos en la red principal de Polkadot no se vieron afectados. La causa principal de esta vulnerabilidad fue que el contrato EthereumHost de Hyperbridge no verificó correctamente la autenticidad del mensaje antes de transmitirlo al TokenGateway.

El puente de cadena cruzada $DOT (@Polkadot) acaba de ser explotado en @ethereum.

El control fue transferido al contrato del atacante, luego se acuñaron 1 mil millones de $DOT y se vendieron instantáneamente. El precio cayó de $1.22 a fracciones minúsculas de centavo.https://t.co/ECDT0RaHE9 pic.twitter.com/WUwxjtsNwr

— Onchain Lens (@OnchainLens) 13 de abril de 2026

El puente de cadena cruzada ha sido siempre la parte más vulnerable en la arquitectura blockchain, ya que poseen permisos de gestión sobre los contratos de tokens. Si la verificación falla, los hackers pueden obtener fácilmente el poder de acuñar tokens ilimitados.
Métodos de ataque: falsificación de mensajes, toma de control, acuñación ilimitada
Las rastreos en la cadena muestran que el hacker envió un mensaje falsificado mediante dispatchIncoming y logró dirigirlo a TokenGateway.onAccept. Originalmente, el sistema debería verificar la autenticidad del mensaje basándose en el estado de la cadena de Polkadot, pero el mecanismo de verificación registró el valor de promesa como “cero”, lo que significa que la verificación fue completamente eludida o inexistente, por lo que el sistema interpretó el mensaje falso como una orden legítima.
El mensaje aceptado inmediatamente ejecutó la función changeAdmin en el contrato de tokens puente de Polkadot, transfiriendo los permisos de administrador a la dirección del atacante. Tras obtener el control, el hacker acuñó 1,000 millones de DOT en una sola transacción y, usando Odos Router V3, depositó estos tokens en el pool de intercambio DOT-ETH de Uniswap V4. Después de realizar varias operaciones de intercambio a precios ligeramente diferentes, finalmente retiró aproximadamente 108.2 ETH.
“Falta de liquidez” como escudo protector
En los mercados financieros, la “falta de liquidez” suele ser un problema muy molesto para los grandes inversores, pero irónicamente, en esta ocasión, la escasez de liquidez actuó como un escudo invisible, limitando significativamente las ganancias del hacker.
Dado que la profundidad de liquidez de DOT en Ethereum es extremadamente limitada, no puede absorber los 1,000 millones de tokens creados de la nada. Cuando el hacker intentó venderlos rápidamente, el impacto en el precio fue tan severo que el valor real de cada token cayó por debajo de un centavo de dólar.
En un puente con mayor profundidad de liquidez o con activos de mayor valor, la misma vulnerabilidad podría haber causado pérdidas decenas de veces mayores. Hasta el momento de redactar este informe, el precio de DOT es aproximadamente $1.17, con una caída del 5% en las últimas 24 horas.
Este incidente vuelve a demostrar que, incluso si un hacker tiene el poder de acuñar tokens ilimitados, el éxito en obtener beneficios depende en última instancia de la liquidez del mercado y la profundidad de las transacciones. La reconocida firma de seguridad blockchain CertiK confirmó el ataque y afirmó que el hacker obtuvo aproximadamente 237,000 dólares en ganancias mediante la acuñación y venta de tokens puente.
Hasta ahora, Hyperbridge no ha emitido ninguna declaración pública sobre el incidente.

#CertiKInsight 🚨

Hemos detectado una explotación en el contrato de la pasarela @hyperbridge. https://t.co/h27iDm1JGd

El atacante logró pasar un mensaje falsificado para cambiar al administrador del contrato de tokens de Polkadot en Ethereum y obtuvo aproximadamente $237K al acuñar y vender 1 mil millones de tokens.

Manténganse atentos… pic.twitter.com/3t2n4uq5hy

— CertiK Alert (@CertiKAlert) 13 de abril de 2026