¿El robo más absurdo? Un hacker acuña 1,000 millones de dólares en $DOT, pero por "esta razón" solo roba 230,000 dólares

Los incidentes de ataques a criptomonedas son constantes, pero casos como este de “arriesgar mucho y ganar poco” son realmente raros. Hoy (13) por la mañana, un hacker aprovechó una vulnerabilidad en el puente de cadena cruzada Hyperbridge para crear de la nada 1,000 millones de Polkadot (DOT) en la red de Ethereum, con un valor nominal de hasta 1,19 mil millones de dólares. Sin embargo, cuando intentó vender estos tokens, debido a una grave falta de liquidez, solo logró obtener aproximadamente 237,000 dólares en ETH.
Es importante aclarar que el objetivo del ataque fue el “contrato inteligente del puente de cadena cruzada”, por lo que los tokens DOT nativos en la red principal de Polkadot no se vieron afectados. La causa principal de esta vulnerabilidad fue que el contrato EthereumHost de Hyperbridge no verificó correctamente la autenticidad de los mensajes antes de transmitir la información a TokenGateway.

Bridged $DOT (@Polkadot) acaba de ser explotado en @ethereum.

El control fue transferido al contrato del atacante, luego se acuñaron 1B $DOT y se vendieron de inmediato. El precio cayó de $1.22 a fracciones minúsculas de centavo.https://t.co/ECDT0RaHE9 pic.twitter.com/WUwxjtsNwr

— Onchain Lens (@OnchainLens) 13 de abril de 2026

Los puentes de cadena cruzada siempre han sido la parte más vulnerable de la arquitectura blockchain, ya que tienen control sobre los contratos de tokens. Si la verificación falla, los hackers pueden obtener fácilmente el poder de acuñar tokens ilimitados.
Método de ataque: falsificación de mensajes, toma de control, acuñación ilimitada de tokens
El seguimiento en la cadena muestra que el hacker envió un mensaje falsificado mediante dispatchIncoming y logró dirigirlo a TokenGateway.onAccept. Originalmente, el sistema debía verificar la autenticidad del mensaje según el estado en la cadena de Polkadot, pero el mecanismo de verificación registró el valor de promesa como “cero”, lo que significa que la verificación fue completamente eludida o simplemente no existió, por lo que el sistema interpretó esa falsa información como una orden legítima.
El mensaje aceptado ejecutó inmediatamente la función changeAdmin en el contrato de tokens puente de Polkadot, transfiriendo los derechos de administrador a la dirección del atacante. Tras obtener el control, el hacker acuñó 1,000 millones de DOT en una sola transacción y, usando Odos Router V3, depositó estos tokens en el pool de intercambio DOT-ETH de Uniswap V4. Después de realizar varias operaciones de intercambio a precios ligeramente diferentes, finalmente retiró aproximadamente 108.2 ETH.
“Falta de liquidez” se convierte en escudo protector
En los mercados financieros, la “falta de liquidez” suele ser un problema muy molesto para los grandes inversores, pero irónicamente, en esta ocasión, la escasez de liquidez actuó como un escudo invisible, limitando significativamente las ganancias del hacker.
Debido a que la profundidad de liquidez de DOT en Ethereum es extremadamente limitada, no puede absorber los 1,000 millones de tokens creados de la nada. Cuando el hacker intentó venderlos rápidamente, el precio se desplomó, haciendo que el valor real de cada token fuera inferior a un centavo de dólar.
En un puente con mayor profundidad de mercado o con activos de mayor valor, la misma vulnerabilidad podría haber causado pérdidas decenas de veces mayores. Hasta el momento de redactar este informe, el precio de DOT en mercado es de aproximadamente 1.17 dólares, con una caída del 5% en las últimas 24 horas.
Este incidente vuelve a demostrar que, incluso si un hacker tiene el poder de acuñar tokens ilimitados, el éxito en obtener beneficios depende en última instancia de la liquidez y la profundidad del mercado. La firma de seguridad en blockchain CertiK confirmó posteriormente el ataque y afirmó que el hacker obtuvo aproximadamente 237,000 dólares en ganancias mediante la acuñación y venta de tokens puente.
Hasta ahora, Hyperbridge no ha emitido ninguna declaración pública sobre el incidente.

#CertiKInsight 🚨

Hemos detectado una explotación en el contrato de gateway de @hyperbridge. https://t.co/h27iDm1JGd

El atacante logró pasar un mensaje falsificado para cambiar al administrador del contrato de tokens de Polkadot en Ethereum y obtuvo aproximadamente $237K en ganancias por la acuñación y venta de 1B de tokens.

Manténganse atentos… pic.twitter.com/3t2n4uq5hy

— CertiK Alert (@CertiKAlert) 13 de abril de 2026