Explotación de Polkadot: Un Análisis Detallado
Una explotación que llevó a la acuñación de 1 mil millones de tokens envueltos de Polkadot (DOT) a principios de esta semana es incluso peor de lo que se informó originalmente, según el equipo detrás de Hyperbridge. Lo que se pensaba que equivalía a $237,000 en pérdidas de tokens vinculadas al puente Polkadot-Ethereum es, en realidad, más cercano a $2.5 millones, un aumento de más de 10 veces respecto al informe inicial.
«Un atacante explotó una vulnerabilidad en la lógica de verificación de prueba de Merkle Mountain Range (MMR), lo que permitió al culpable acuñar activos y drenar los activos en custodia en Token Gateway,» publicó el equipo en un informe postmortem el jueves.
«Nuestra estimación pública inicial de la pérdida fue de aproximadamente $237,000, basada en la venta observable inmediata de DOT puenteado en Ethereum,» añadieron. «Esa cifra no capturó el panorama completo, como aprendimos más tarde.»
Detalles de la Explotación
Además de los $237,000 en pérdidas observables, un contrato inteligente fue explotado por 245 ETH, o alrededor de $561,000, horas antes de las acuñaciones maliciosas de tokens DOT. Asimismo, tres blockchains conectadas—Base, Arbitrum y BNB Chain—también se vieron afectadas, contradiciendo el informe original del equipo que indicaba que solo el DOT envuelto en Ethereum fue afectado.
«Tras la reconciliación de la actividad del atacante en cada una de las cuatro cadenas, la naturaleza de dos fases del ataque y las pérdidas de los pools de incentivos asociados, la pérdida total revisada es de aproximadamente $2.5 millones, denominados en ETH y DOT en el momento de la explotación,» escribió.
Recuperación de Activos y Compensación
Los fondos robados han sido rastreados hasta una dirección de depósito en Binance, y la firma ha involucrado al equipo de cumplimiento del intercambio centralizado y a las fuerzas del orden pertinentes en un intento de congelar y recuperar los activos robados, aunque no espera una resolución pronta.
«Estamos persiguiendo todos los canales disponibles, pero el cronograma realista para una recuperación significativa en un caso de este tipo se mide en meses, y puede extenderse hasta un año,» añadieron.
Si bien su objetivo es reembolsar a todos los usuarios afectados por los fondos comprometidos, el protocolo indicó que está «comprometido con una asignación estructurada de tokens BRIDGE para cubrir la pérdida residual,» en caso de que no pueda hacerlo.
Sin embargo, BRIDGE, su token nativo del protocolo, mantiene volúmenes extremadamente bajos, negociándose por última vez a $1,800 en 24 horas, cuando cambió de manos por alrededor de $0.006 el 29 de marzo, según datos de CoinGecko. A ese precio, el token tenía una capitalización de mercado de alrededor de $858,000, aproximadamente un tercio de las pérdidas totales de su explotación.
Estado Actual y Futuro del Protocolo
La funcionalidad de puente en las cuatro blockchains afectadas permanece en pausa y solo se reanudará después de que se implemente y audite un parche. «Esto no cambia nuestra convicción de que la interoperabilidad entre cadenas solo es segura a través de pruebas criptográficas,» escribió el equipo del protocolo.
«Lo que esta explotación ha dejado claro, de manera costosa, es que la lógica de verificación necesita auditorías más frecuentes y pruebas adversariales en cada capa de la pila,» añadieron. «Ese es el estándar bajo el cual operará Token Gateway en el futuro.»
