Por Logan Hitchcock
3 min lectura
Un exploit que provocó la emisión de 1.000 millones de tokens Polkadot envueltos (DOT) a principios de esta semana es aún peor de lo que se reportó inicialmente, según el equipo detrás de Hyperbridge.
Lo que originalmente se pensaba que representaba pérdidas de tokens por $237.000 vinculadas al puente Polkadot-Ethereum es en realidad cercano a $2,5 millones, más de 10 veces el estimado inicial.
"Un atacante explotó una vulnerabilidad en la lógica de verificación de pruebas del Merkle Mountain Range (MMR), lo que le permitió acuñar activos y vaciar activos en custodia en Token Gateway", señaló el equipo en una autopsia publicada el jueves.
"Nuestra estimación pública inicial de la pérdida realizada fue de aproximadamente $237.000, basada en la venta inmediatamente observable de DOT enviado mediante puente a Ethereum", agregaron. "Esa cifra no reflejaba el panorama completo, como supimos después".
Además de los $237.000 en pérdidas observables, un contrato inteligente fue explotado por 245 ETH, equivalentes a unos $561.000, horas antes de las emisiones maliciosas de tokens DOT. Asimismo, tres blockchains conectadas —Base, Arbitrum y BNB Chain— también resultaron afectadas, contradiciendo el informe original del equipo, que indicaba que solo el DOT envuelto en Ethereum había sido impactado.
"Tras conciliar la actividad del atacante en cada una de las cuatro cadenas, la naturaleza bifásica del ataque y las pérdidas de los pools de incentivos asociados, la pérdida total realizada revisada es de aproximadamente $2,5 millones, denominada en ETH y DOT al momento del exploit", escribió el equipo.
Los fondos robados han sido rastreados hasta una dirección de depósito en Binance, y la firma ha involucrado al equipo de cumplimiento del exchange centralizado y a las autoridades competentes en un intento por congelar y recuperar los activos sustraídos, aunque no esperan una resolución a corto plazo.
"Estamos explorando todos los canales disponibles, pero el plazo realista para una recuperación significativa en un caso de este tipo se mide en meses y puede extenderse hasta un año", añadió.
Si bien su objetivo es compensar íntegramente a todos los usuarios afectados reembolsando los fondos comprometidos, el protocolo indicó que está "comprometido con una asignación estructurada de tokens BRIDGE para cubrir la pérdida residual", en caso de no poder hacerlo.
Sin embargo, BRIDGE, su token nativo, mantiene volúmenes extremadamente bajos: cotizaba a apenas $1.800 en 24 horas cuando cambió de manos a alrededor de $0,006 el 29 de marzo, según datos de CoinGecko. A ese precio, el token tenía una capitalización de mercado de aproximadamente $858.000, cerca de un tercio del total de pérdidas del exploit.
La funcionalidad de puente en las cuatro blockchains afectadas permanece pausada y solo se reanudará tras implementar y auditar un parche.
"Esto no cambia nuestra convicción de que la interoperabilidad entre cadenas solo es segura mediante pruebas criptográficas", escribió el equipo del protocolo.
"Lo que este exploit ha dejado claro, a un costo elevado, es que la lógica de verificación necesita auditorías más frecuentes y pruebas adversariales en cada capa del stack", añadieron. "Ese es el estándar bajo el que operará Token Gateway de ahora en adelante".
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.