Un atacante acuña 1.000 millones en tokens Polkadot en Ethereum, pero solo roba 250.000 dólares

Un atacante explotó una vulnerabilidad en un puente blockchain para acuñar fraudulentamente 1.000 millones de dólares en tokens DOT de Polkadot en la red Ethereum, aunque finalmente solo logró extraer beneficios por valor de 237.000 dólares. El incidente afectó al puente Nomad, una herramienta que permite mover activos entre cadenas de bloques diferentes.

La vulnerabilidad residía en el contrato inteligente del puente, donde un mensaje de cadena cruzada falsificado pudo eludir la validación de prueba de estado. Este fallo otorgó al atacante privilegios de administrador sobre la versión de DOT alojada en Ethereum, lo que le permitió acuñar la totalidad de la oferta de tokens vinculada. El exploit técnico demuestra los riesgos persistentes en la infraestructura de interoperabilidad entre blockchains.

Tras la acuñación masiva, el atacante procedió a vender los tokens en un pool de liquidez de DeFi. Sin embargo, la limitada liquidez disponible hizo que las ventas masivas desplomaran el precio del activo, convirtiendo teóricamente los 1.000 millones de dólares creados en solo 237.000 dólares reales obtenidos antes de que el pool se agotara. La rápida devaluación actuó como un limitador natural de las pérdidas.

El cierre del exploit por parte de Nomad y la naturaleza pública de la blockchain permitieron identificar la dirección del atacante. El incidente subraya la crítica dependencia de la seguridad de los puentes en el ecosistema multichain y cómo la liquidez del mercado, no solo la seguridad del código, puede determinar el impacto financiero final de un hackeo.