Poly Network hack: $610M en cripto robados (y devueltos por 'Mr. White Hat')
  • ALCA
  • 11 de agosto, 2021
  • Ciberseguridad

Poly Network hack: $610M en cripto robados (y devueltos por 'Mr. White Hat')

El 10 de agosto el protocolo cross-chain Poly Network sufrió uno de los robos más grandes en la historia de las criptomonedas: aproximadamente 610 millones de dólares en activos extraídos de los contratos inteligentes que conectaban Ethereum, Binance Smart Chain y Polygon. Lo que pudo ser un desastre se convirtió en algo todavía más extraño: el atacante empezó a devolver los fondos casi de inmediato, autodenominándose Mr. White Hat y declarando, en mensajes embebidos en transacciones, que su intención era exponer la vulnerabilidad. Días después prácticamente todo había sido regresado y Poly Network le ofreció una recompensa formal de 500,000 dólares y un puesto de "asesor de seguridad jefe".

Más allá del giro narrativo, el caso deja lecciones técnicas y de gobierno duras para cualquier empresa mexicana involucrada en DeFi, en bridges cross-chain o, en general, en cualquier despliegue serio de smart contracts.

La vulnerabilidad en términos accesibles

Poly Network funcionaba como un puente: permitía mover activos entre blockchains usando un patrón de "lock and mint". Cuando un usuario depositaba tokens en un contrato en una cadena, el contrato emitía instrucciones a un contrato gemelo en otra cadena para liberar (o emitir) la cantidad equivalente. La autorización de esas instrucciones dependía de un conjunto de claves controlado por el llamado EthCrossChainManager.

La vulnerabilidad permitía que un atacante construyera un mensaje cuya firma, una vez procesada por el contrato, modificara los keepers (las direcciones autorizadas a ordenar liberaciones). Reemplazando esos keepers por su propia dirección, el atacante podía emitir órdenes de liberación arbitrarias a su favor, vaciando los pools en las tres cadenas.

No fue un bug exótico de criptografía: fue un problema clásico de falta de validación adecuada del contenido del mensaje firmado, combinado con privilegios excesivos del contrato cross-chain manager. El tipo de bug que un audit serio detecta.

Por qué los bridges son hoy el blanco preferido

Los bridges cross-chain concentran liquidez. Para mover valor entre Ethereum y otra cadena, ese valor se "estaciona" temporalmente en el contrato del bridge. Esto los convierte en tesoros gigantes con un perímetro de seguridad complejo, porque tienen que validar mensajes que vienen de fuera de su cadena nativa. La mezcla de mucho dinero y arquitectura compleja los vuelve los bocados más jugosos para atacantes.

A lo largo de 2021 vimos varios incidentes en bridges y protocolos cross-chain, con Poly Network como el más grande hasta ese momento. La tendencia se va a acentuar mientras la liquidez en estos puentes siga creciendo.

Lecciones para empresas mexicanas en cripto y DeFi

Aunque el ecosistema mexicano de DeFi nativo es todavía pequeño, hay un grupo creciente de empresas que están construyendo: exchanges con productos avanzados, fintechs ofreciendo yield, plataformas de tokenización de activos, marketplaces NFT. Para todas ellas, Poly Network deja recordatorios concretos:

Audit no es opcional, ni es un solo audit

Un solo despacho de auditoría no es suficiente. Las prácticas serias incluyen:

  • Dos audits independientes antes de mainnet, idealmente con perfiles distintos (uno enfocado a lógica de negocio, otro a vectores de bajo nivel).
  • Verificación formal de los componentes críticos cuando es posible (Certora, runtime invariants, etc.).
  • Re-audit después de cualquier cambio significativo, no solo en el lanzamiento inicial.

Bug bounty real, no de adorno

Programas como Immunefi han demostrado que ofrecer recompensas escalonadas a investigadores legítimos, con techos altos para vulnerabilidades críticas, paga con creces. La diferencia entre un bug reportado por 100 mil dólares y un exploit por 100 millones es casi siempre un programa de bug bounty serio.

Principio de mínimos privilegios en contratos

El bug de Poly Network se agravó porque el cross-chain manager tenía la capacidad de cambiar los keepers. Cualquier privilegio dentro de un contrato debe diseñarse con la pregunta: "si este punto cae, ¿qué tan grande es el daño?". Cuando la respuesta es "se vacían los pools", la arquitectura está mal.

Multisig y timelocks

Los cambios administrativos sensibles (rotación de keepers, actualización de contratos, retiros de fondos del tesoro) deben requerir firmas múltiples y timelocks que den ventana para reaccionar. No alivian todos los ataques, pero limitan el daño en escenarios de compromiso.

Plan de respuesta a incidentes en DeFi

La mayoría de los equipos en cripto no tienen un IR plan estructurado. Cuando el ataque ocurre, improvisan. Un plan mínimo:

  • Roles claros: quién pausa contratos, quién comunica, quién contacta a exchanges, quién a fuerzas del orden.
  • Pre-acuerdos con exchanges centralizados para congelar fondos si el atacante intenta cashout.
  • Línea de comunicación directa con la comunidad (Discord, Twitter) lista para activarse en minutos.
  • Plan de negociación considerando ofertas tipo "white hat bounty" como las que terminaron salvando a Poly Network.

El componente reputacional

El final feliz de Poly Network es atípico. La narrativa de "Mr. White Hat" es una excepción, no la regla. Pero deja una observación útil: durante el incidente, la respuesta pública de Poly Network fue rápida, transparente y mantuvo el control narrativo. Publicaron el detalle técnico en horas, mantuvieron diálogo abierto con el atacante en cadena y agradecieron públicamente la devolución. Esa madurez comunicacional ayudó a contener el daño reputacional.

Las empresas mexicanas en cripto que operan con cuentas pequeñas en redes sociales y comunicación informal van a sufrir mucho más en un incidente equivalente. La preparación comunicacional pesa tanto como la técnica.

Cierre

Poly Network terminó relativamente bien por suerte y por una decisión personal del atacante. Apostarle a que la próxima vez también habrá un Mr. White Hat es ingenuo. Las empresas mexicanas que están construyendo DeFi o que están integrando contratos inteligentes en sus productos tienen que internalizar que la barra de seguridad en este espacio es brutalmente alta y que los atacantes están profesionalizándose más rápido que las defensas.

¿Tu DeFi tiene audit serio? Conversemos. Agenda 30 minutos con nuestro equipo y revisamos contigo el plan de auditorías y respuesta para tu protocolo.

Artículos relacionados

Survex: escaneo continuo de vulnerabilidades para equipos que ya están cansados del ruido

2 de mayo, 2026 Survex: escaneo continuo de vulnerabilidades para equipos que ya están cansados del ruido

Anatomía del compromise de Axios npm (mar 2026): lecciones de un supply chain attack que afectó a miles

1 de abril, 2026 Anatomía del compromise de Axios npm (mar 2026): lecciones de un supply chain attack que afectó a miles

RSAC 2026: por qué la conversación de ciberseguridad se mueve de prevención a resiliencia

25 de febrero, 2026 RSAC 2026: por qué la conversación de ciberseguridad se mueve de prevención a resiliencia