Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 269Exploit de puente

Bypass de prueba MMR en Hyperbridge

1.000 M de DOT bridgeados acuñados en Hyperbridge tras una verificación ausente en VerifyProof que dejó forjar pruebas MMR; pérdida realizada ~2,5 M$.

Fecha
Víctima
Hyperbridge
Cadena(s)
EthereumBaseBNB ChainArbitrum
Estado
Fondos robados

El 13 de abril de 2026, el puente cross-chain basado en Polkadot Hyperbridge fue explotado mediante una verificación de límites ausente en la lógica de verificación de pruebas Merkle Mountain Range (MMR) de su contrato Handler V1, de 2 años de antigüedad. El atacante acuñó aproximadamente 1.000 millones de tokens DOT bridgeados en redes EVM (Ethereum, Base, BNB Chain, Arbitrum) y los volcó a la liquidez disponible. Las pérdidas iniciales se reportaron en 237.000 dólares, luego revisadas a aproximadamente 2,5 millones de dólares cuando el impacto más amplio sobre los pools de incentivos y protocolos dependientes se hizo claro.

Qué ocurrió

Hyperbridge conecta el ecosistema de parachains de Polkadot con redes EVM usando pruebas criptográficas de Merkle Mountain Range (MMR). El handler del lado EVM del puente verifica estas pruebas contra raíces comprometidas de la relay chain de Polkadot para autorizar retiros y acuñación de tokens.

La vulnerabilidad era una verificación de límites ausente en la función VerifyProof() del contrato Handler V1, código que había sido escrito más de dos años antes del exploit. Sin la verificación de límites, un atacante podía construir una prueba MMR que el handler aceptaría como válida aunque la prueba no correspondiera a ningún compromiso legítimo.

El ataque se desarrolló en dos fases:

  1. Extracción inicial: un atacante drenó aproximadamente 245 ETH del contrato TokenGateway de Hyperbridge mediante la vulnerabilidad de bypass de prueba.
  2. Evento principal (~1 hora después): el atacante acuñó aproximadamente 1.000 millones de tokens DOT bridgeados en las cuatro redes EVM soportadas y los volcó inmediatamente en la liquidez DEX disponible.

La extracción real en efectivo se vio limitada por la profundidad de liquidez DEX: la mayoría de los DEX que retenían DOT bridgeado tenían capacidad limitada para absorber 1.000 millones de tokens entrantes a precios significativos. El precio del DOT bridgeado colapsó en cada EVM donde Hyperbridge tenía liquidez, dejando la mayoría de los tokens recién acuñados efectivamente sin valor.

La revisión de la estimación de pérdida de 237K$ a 2,5 M$ reflejó:

  • La extracción DEX realizada (~1 M$+ en activos reales).
  • Impactos sobre pools de incentivos en varias cadenas que dependían del DOT bridgeado.
  • Pérdidas en cascada en protocolos integrados que retenían DOT bridgeado como colateral o en posiciones de liquidez.

Consecuencias

  • Hyperbridge abrió una ventana de devolución de 14 días para el atacante, con la promesa de que las direcciones de wallet con fondos no devueltos tras el plazo serían remitidas a las fuerzas del orden.
  • Porciones significativas de los ingresos fueron rastreadas hasta Binance; Hyperbridge contactó al equipo de cumplimiento de Binance para congelar activos.
  • La vulnerabilidad se parcheó en despliegues posteriores del contrato Handler con verificaciones de límites explícitas.
  • Hyperbridge anunció posteriormente un programa de bug bounty de 50.000 dólares para vulnerabilidades críticas futuras: un pago relativamente pequeño que recibió críticas de la industria por inadecuado para la escala de la superficie de ataque del protocolo.

Por qué importa

El incidente de Hyperbridge ilustra dos patrones convergentes de 2026:

  1. El código de contratos legacy se vuelve cada vez más peligroso conforme envejece: el Handler V1 de 2 años se escribió en una era en la que la verificación de pruebas MMR estaba menos entendida como superficie de ataque, y la verificación de límites ausente sobrevivió a varias auditorías porque la verificación de pruebas cross-chain era tratada como territorio exótico por revisores enfocados en primitivas nativas de EVM.

  2. La brecha entre "suministro acuñado" y "valor extraído" sigue definiendo cómo cobran los exploits de puentes en ecosistemas de cadenas más pequeños. El atacante acuñó 1.000 millones en representación nominal de DOT pero solo extrajo ~2,5 M$ en valor realizado porque los lugares de liquidez no podían absorber el suministro a precios significativos.

Las respuestas defensivas que se están adoptando en el ecosistema de puentes post-KelpDAO incluyen:

  • Controles de mint: topes rígidos sobre la emisión cross-chain de tokens por época.
  • Límites de liquidez: protocolos que restringen cuánto suministro bridgeado aceptan como colateral.
  • Coordinación más estrecha de respuesta a incidentes con los principales CEX y agregadores DEX para congelaciones rápidas.

El bug bounty de 50.000 dólares ha sido caracterizado por investigadores de seguridad como muy por debajo de la tarifa vigente para vulnerabilidades críticas de puentes. La lección estructural, cada vez más debatida, es que los bounties de puentes deben ser competitivos con el upside que los atacantes pueden capturar, y a los niveles modernos de TVL de los puentes, eso suele ser 250K-1 M$+ por vulnerabilidad crítica, no 50K.

Fuentes y evidencia on-chain

  1. [01]cryptotimes.iohttps://www.cryptotimes.io/2026/04/16/hyperbridge-raises-exploit-loss-estimate-to-2-5m-from-237k/
  2. [02]blog.hyperbridge.networkhttps://blog.hyperbridge.network/recovery-and-next-steps/
  3. [03]theblock.cohttps://www.theblock.co/post/397773/polkadot-hyperbridge-exploit-losses-2-5-million-ten-times-initial-estimate

Registros relacionados