Un exploit que llevó a la acuñación de mil millones de tokens Polkadot (DOT) envueltos a principios de esta semana es incluso peor de lo que se informó originalmente, según el equipo detrás de Hyperbridge.
Lo que originalmente se pensó que ascendía a $237,000 en pérdidas de tokens vinculadas al puente Polkadot-Ethereum es en realidad más cercano a los $2.5 millones, un aumento de más de 10 veces respecto al informe inicial.
“Un atacante explotó una vulnerabilidad en la lógica de verificación de pruebas Merkle Mountain Range (MMR), permitiendo al culpable acuñar activos y drenar los activos en garantía en Token Gateway”, publicó el equipo en un postmortem el jueves.
The attacker extracted roughly 245 ETH from a related TokenGateway contract.
About an hour later, a forged cross-chain message bypassed MMR proof verification, allowing the attacker to mint 1 billion bridged DOT and dump them into thin liquidity.
— Hyperbridge (@hyperbridge) April 16, 2026
“Nuestra estimación pública inicial de la pérdida realizada fue de aproximadamente $237,000, basada en la venta inmediata observable de DOT puenteados en Ethereum”, añadieron. “Esa cifra no capturó el panorama completo, como supimos después.”
Además de las pérdidas observables de $237,000, un contrato inteligente fue explotado por 245 ETH, o alrededor de $561,000, horas antes de la acuñación maliciosa de tokens DOT. Además, tres blockchains conectadas —Base, Arbitrum y BNB Chain— también se vieron afectadas, lo que contradice el informe original del equipo de que solo los DOT envueltos en Ethereum habían sido impactados.
“Tras la conciliación de la actividad del atacante en cada una de las cuatro cadenas, la naturaleza de dos fases del ataque y las pérdidas de los fondos de incentivos asociados, la pérdida total realizada revisada es de aproximadamente $2.5 millones, denominada en ETH y DOT en el momento del exploit”, escribió.
Los fondos robados han sido rastreados a una dirección de depósito en Binance, y la empresa ha contactado al equipo de cumplimiento de la bolsa centralizada y a las autoridades pertinentes en un intento por congelar y recuperar los activos robados, pero no esperan una resolución pronta.
“Estamos persiguiendo todas las vías disponibles, pero el plazo realista para una recuperación significativa en un caso de este tipo se mide en meses, y puede extenderse hasta un año”, añadió.
Si bien su objetivo es compensar a todos los usuarios afectados, reembolsando los fondos comprometidos, el protocolo indicó que está “comprometido a una asignación estructurada de tokens BRIDGE para cubrir la pérdida residual”, en caso de no poder hacerlo.
Pero BRIDGE, su token de protocolo nativo, mantiene volúmenes extremadamente bajos, negociándose por última vez $1,800 en 24 horas cuando se intercambió por alrededor de $0.006 el 29 de marzo, según datos de CoinGecko. A ese precio, el token tenía una capitalización de mercado de alrededor de $858,000, aproximadamente un tercio de las pérdidas totales de su exploit.
La funcionalidad de puente en las cuatro blockchains afectadas permanece pausada, y solo se reanudará después de que se implemente y audite un parche.
“Esto no cambia nuestra convicción de que la interoperabilidad entre cadenas solo es segura a través de pruebas criptográficas”, escribió el equipo del protocolo.
“Lo que este exploit ha dejado claro, de forma costosa, es que la lógica de verificación necesita auditorías más frecuentes y pruebas adversarias en cada capa de la pila”, añadió. “Ese es el estándar bajo el cual operará Token Gateway en el futuro.”
