Por Canuto Hyperbridge reconoció que el hack a su puente entre Polkadot y Ethereum fue mucho más grave de lo que informó al inicio. La pérdida real no fue de apenas USD $237.000, sino de cerca de USD $2,5 millones, tras descubrirse una ofensiva en dos fases que también impactó a Base, Arbitrum y BNB Chain.
***
- Hyperbridge elevó la cifra del hack al puente Polkadot-Ethereum desde USD $237.000 hasta cerca de USD $2,5 millones.
- El ataque explotó una falla en la verificación de pruebas Merkle Mountain Range y afectó cuatro redes distintas.
- Los fondos fueron rastreados hasta una dirección de depósito en Binance, mientras el protocolo mantiene pausada la operatividad del puente.
Hyperbridge admitió que las pérdidas derivadas del hack a su puente entre Polkadot y Ethereum fueron más de 10 veces superiores a las reportadas inicialmente. Lo que en un primer momento se estimó en USD $237.000 en pérdidas de tokens vinculados al puente, ahora fue revisado a cerca de USD $2,5 millones, según el informe post mortem publicado por el equipo.
El incidente gira en torno a un exploit que permitió la acuñación de 1.000 millones de tokens wrapped Polkadot (DOT) a comienzos de esta semana. Sin embargo, el impacto real fue más amplio que la primera lectura del evento, tanto por la cantidad de fondos comprometidos como por el número de redes afectadas.
De acuerdo con el equipo detrás de Hyperbridge, el atacante aprovechó una vulnerabilidad en la lógica de verificación de pruebas Merkle Mountain Range, conocidas como MMR. Esa falla hizo posible que el responsable acuñara activos y drenara fondos en custodia desde Token Gateway, uno de los componentes clave del sistema de interoperabilidad del protocolo.
En su explicación, Hyperbridge señaló que la estimación pública inicial se basó solo en la liquidación visible de DOT puenteado en Ethereum. Ese cálculo, según reconoció la propia organización, no reflejaba el panorama completo del ataque ni la secuencia total de movimientos realizados por el responsable.
Un ataque en dos fases elevó el daño total
La revisión del caso mostró que, además de los USD $237.000 en pérdidas observables en Ethereum, un contrato inteligente ya había sido explotado horas antes por 245 ETH, equivalentes a cerca de USD $561.000. Ese movimiento ocurrió antes de las acuñaciones maliciosas de DOT y fue una de las claves para entender que el incidente había tenido una estructura más compleja de lo que se pensó al principio.
Hyperbridge también detalló que el exploit no se limitó a Ethereum. Tres blockchains conectadas al sistema, Base, Arbitrum y BNB Chain, resultaron igualmente afectadas. Esto contradijo el reporte inicial del protocolo, en el que se afirmaba que solo el wrapped DOT en Ethereum había sufrido las consecuencias del ataque.
An update on the April 13 Hyperbridge Token Gateway exploit.
Our initial loss estimate of approximately $237K has been revised upward to approximately $2.5M, with most of the increase reflecting losses from incentive pools across Ethereum, Base, BNB Chain, and Arbitrum.
— Hyperbridge (@hyperbridge) April 16, 2026
Tras revisar la actividad del atacante en las cuatro cadenas, el equipo concluyó que se trató de una ofensiva en dos etapas. A eso se sumaron pérdidas adicionales relacionadas con fondos de incentivos asociados al protocolo, lo que elevó el cálculo de pérdida total realizada a aproximadamente USD $2,5 millones, denominados en ETH y DOT al momento del exploit.
Este tipo de puentes permite mover activos entre distintas redes blockchain. Aunque son piezas importantes para la interoperabilidad del ecosistema, también concentran riesgos técnicos relevantes. Un error en la validación criptográfica o en la lógica de los contratos puede abrir la puerta a acuñaciones indebidas, drenaje de reservas o desbalances entre activos originales y representaciones envueltas.
Fondos rastreados hasta Binance, pero la recuperación tomará tiempo
El equipo aseguró que los fondos robados fueron rastreados hasta una dirección de depósito en Binance. A partir de ese hallazgo, la firma involucró al equipo de cumplimiento del exchange centralizado y también a las fuerzas del orden pertinentes, con el objetivo de congelar y recuperar los activos comprometidos.
No obstante, Hyperbridge advirtió que no espera una solución rápida. Según indicó, aunque seguirá todos los canales disponibles, el plazo realista para recuperar una porción significativa de los fondos en un caso de este tipo se mide en meses y podría extenderse hasta un año.
Ese punto es relevante porque, en incidentes multired y con uso de exchanges centralizados, la recuperación depende de procesos de cumplimiento, solicitudes legales y cooperación entre distintas jurisdicciones. Incluso cuando los fondos son identificados, congelarlos o devolverlos puede demorar mucho más de lo que espera la comunidad afectada.
Por ahora, la operatividad del puente permanece suspendida en las cuatro blockchains afectadas. Hyperbridge señaló que la funcionalidad solo será restablecida una vez que el parche correspondiente haya sido implementado y auditado. Esa decisión apunta a evitar un nuevo incidente mientras continúa la revisión técnica del sistema.
Compensación a usuarios y dudas sobre el token BRIDGE
Hyperbridge afirmó que su objetivo es compensar por completo a todos los usuarios afectados mediante el reembolso de los fondos comprometidos. Sin embargo, también reconoció que, si no logra hacerlo plenamente por otras vías, está comprometido con una asignación estructurada de tokens BRIDGE para cubrir la pérdida residual.
Esa alternativa genera interrogantes por la escasa liquidez del activo nativo del protocolo. Según datos de CoinGecko citados por la fuente, BRIDGE mantiene volúmenes extremadamente bajos. Su última negociación reportada fue de apenas USD $1.800 en 24 horas, cuando se intercambió cerca de USD $0,006 el 29 de marzo.
A ese precio, la capitalización de mercado del token rondaba los USD $858.000. Esa cifra equivale a cerca de un tercio de las pérdidas totales derivadas del exploit. En términos prácticos, esto sugiere limitaciones importantes para usar BRIDGE como mecanismo amplio de compensación sin generar presión adicional sobre el mercado del propio activo.
En otras palabras, el compromiso de resarcimiento existe, pero su ejecución dependerá de la recuperación efectiva de fondos, de la capacidad financiera del protocolo y de la respuesta del mercado. Para los usuarios afectados, la promesa es relevante, aunque todavía está lejos de equivaler a una solución cerrada.
La lección para la interoperabilidad entre cadenas
En su informe, Hyperbridge sostuvo que este incidente no cambia su convicción de que la interoperabilidad entre cadenas solo es segura mediante pruebas criptográficas. Aun así, el equipo admitió que el exploit dejó una lección costosa sobre la necesidad de elevar el estándar de revisión en toda la pila tecnológica.
La organización dijo que la lógica de verificación requiere auditorías más frecuentes y pruebas adversariales en cada capa del sistema. Esa afirmación resulta especialmente relevante en un contexto donde los puentes blockchain siguen siendo uno de los vectores de ataque más sensibles de la industria cripto.
Según reportó Yahoo Finance, el caso muestra cómo una vulnerabilidad puntual en la validación de pruebas puede escalar rápidamente a varias redes y terminar comprometiendo tanto fondos custodiados como incentivos internos del protocolo. También deja ver que las estimaciones iniciales tras un hack suelen ser incompletas, especialmente cuando el atacante distribuye operaciones entre varios entornos.
Por ahora, el episodio deja a Hyperbridge bajo presión para reparar el sistema, contener el daño reputacional y responder a los usuarios afectados. También reabre el debate sobre la seguridad real de la infraestructura de interoperabilidad, una pieza central para el crecimiento del ecosistema, pero todavía expuesta a errores de implementación con consecuencias millonarias.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
billonarios
Justin Sun arremete contra World Liberty y califica su propuesta de “tiranía mundial”
Criptomonedas
Inversores de EAU compran acciones de IA y mantienen cripto pese al conflicto en Irán
Bitcoin
VerifiedX lanza Prism para llevar privacidad institucional a Bitcoin
Bitcoin