Puente de Polkadot permite acuñar $1B en DOT, $250K perdidos

Párrafo principal

El 13 de abril de 2026, un mensaje forjado entre cadenas permitió a un atacante acuñar lo que se informó como aproximadamente $1.0 mil millones en tokens Polkadot (DOT) en Ethereum, mientras que sólo convirtió alrededor de $237,000 a valor líquido antes de que los rastros on-chain impidieran más ventas, según CoinDesk. La explotación eludió la validación de pruebas de estado en el contrato puente, otorgando al atacante control administrativo sobre el contrato de DOT puenteado y permitiendo una acuñación de la oferta completa en el lado de Ethereum; CoinDesk registró el incidente el mismo día (13 abr 2026). Aunque la cifra titular —$1,000 millones— captó la atención, la pérdida realizada fue materialmente menor, con el atacante extrayendo aproximadamente entre $237k y $250k en ingresos, devolviendo una fracción de la exposición aparente al protocolo. El evento expone vulnerabilidades estructurales persistentes en la mensajería entre cadenas y en la lógica de validación de oráculos, y refuerza por qué las contrapartes institucionales están revaluando la custodia y el riesgo de contrapartida de puentes en la infraestructura descentralizada. Este informe examina los puntos de datos, compara el episodio con fallos de puentes previos, evalúa las implicaciones para el sector y ofrece una perspectiva de Fazen Capital sobre consideraciones prudentes operativas y de asignación.

Contexto

Los puentes entre cadenas se han convertido en un punto sistémico de fragilidad dentro de la infraestructura cripto porque traducen estado y autorizaciones a través de modelos de seguridad dispares. El 13 de abril de 2026, el puente Polkadot-a-Ethereum falló al validar correctamente una prueba de estado forjada, lo que permitió a un atacante llamar funciones administrativas en el contrato del token DOT puenteado en Ethereum y acuñar toda la oferta puenteada allí, según el resumen técnico de CoinDesk. La falla es un problema de gobernanza y de ruta de código, no un defecto en el consenso de la cadena de retransmisión (relay chain) de Polkadot; deriva de cómo el contrato puente interpreta y acepta mensajes entre cadenas. Para los participantes institucionales, el incidente recuerda que los puentes operan como capas de lógica centralizadas con supuestos implícitos de confianza, y por tanto deben tratarse como exposiciones frente a contrapartes más que como meros primitivos criptográficos.

Históricamente, las explotaciones de puentes han generado titularidad desproporcionada en relación con las pérdidas realizadas debido a los grandes volúmenes nominales de tokens implicados; este caso sigue ese patrón. En 2022 el puente Wormhole perdió aproximadamente $320 millones en una explotación validada (fuentes múltiples, feb 2022), y el puente Ronin sufrió una explotación de alrededor de $625 millones en marzo de 2022 (fuentes múltiples, mar 2022). Comparado con esos eventos, el incidente del puente Polkadot se distingue por la discrepancia entre el valor nominal acuñado ($1.0 mil millones) y el robo materializado (~$237k), lo que subraya cómo la liquidez del mercado y la detección rápida pueden limitar los ingresos convertidos incluso cuando la acuñación a nivel de contrato parece catastrófica.

Para los marcos de riesgo institucionales, el incidente enfatiza dos puntos prácticos: las métricas de valoración basadas en saldos nominales de tokens entre cadenas son insuficientes, y las ventanas de respuesta para impedir la convertibilidad son críticas. Los exchanges y custodios a menudo tratan los tokens puenteados como equivalentes a los activos nativos para liquidación y margen, pero operativamente dependen de la integridad del puente. Como resultado, la diligencia debida debe ahora incorporar auditorías específicas de puentes, la efectividad de programas de recompensas (bug bounties) y simulaciones de tiempos de respuesta para detener retiros o el trading en caso de actividad anómala de acuñación.

Análisis de datos

Los puntos clave de datos del incidente ofrecen información sobre el vector de ataque y el impacto en el mercado. CoinDesk reportó la explotación el 13 de abril de 2026, señalando que el atacante acuñó aproximadamente $1,000 millones en DOT puenteado en Ethereum pero convirtió sólo $237,000 antes de que las intervenciones limitaran más ventas (CoinDesk, 13 abr 2026). La acuñación fue posible porque un mensaje forjado entre cadenas eludió la validación de pruebas de estado del puente, otorgando efectivamente privilegios administrativos al atacante sobre el contrato wrapper ERC-20 de DOT en Ethereum. Esa única vulnerabilidad permitió al atacante manipular la oferta en la instancia de DOT en Ethereum sin alterar los saldos nativos de DOT en la cadena de retransmisión de Polkadot.

Las métricas de liquidez explican por qué la pérdida económica quedó contenida: el mercado de DOT puenteado en Ethereum mostró profundidad limitada en relación con el notional acuñado en los titulares, y la monitorización automatizada señaló presión de venta anómala con rapidez. El atacante intentó vender en una liquidez reducida, la slippage se disparó y los oráculos de precio de los exchanges descentralizados reflejaron el desorden, haciendo que grandes ventas fuesen antieconómicas. Empíricamente, cuando los atacantes se enfrentan a baja liquidez, a menudo recurren a lavado on-chain mediante múltiples swaps y enrutadores, pero en este caso las trazas de transacciones indican un volumen de conversión relativamente pequeño (del orden de $237k), consistente con una detección rápida y una mitigación parcial por parte de nodos y servicios de monitorización.

Comparar los ingresos realizados con incidentes pasados destaca cómo la estructura del mercado importa tanto como las vulnerabilidades de código. La explotación de Ronin en marzo de 2022 realizó aproximadamente $625 millones antes de las acciones de recuperación, mientras que la de Wormhole en febrero de 2022 realizó alrededor de $320 millones; ambos ocurrieron cuando las opciones de liquidez y mezcla eran más permisivas. El evento del puente Polkadot muestra que la detección rápida, la mejor coordinación con exchanges y la trazabilidad pública son cada vez más efectivas para reducir las pérdidas realizadas incluso cuando la acuñación a nivel de contrato parece extrema. Para las instituciones, la conclusión es que las cifras históricas de peor caso siguen siendo relevantes, pero la distribución de probabilidad de las pérdidas convertidas está evolucionando con mejores herramientas y vigilancia de mercado.

Implicaciones para el sector

La implicación inmediata para el sector es un renovado enfoque en el diseño de puentes y en la clasificación de activos puenteados dentro de los procesos institucionales. Los gestores de activos y custodios probablemente tratarán los tokens puenteados como clases de activos distintas para la evaluación del riesgo de contrapartida, aplicando descuentos (haircuts) más altos o límites operativos a las exposiciones puenteadas. Los exchanges pueden int