La madrugada de este 30 de mayo, el puente cross-chain Gravity Bridge fue vaciado de 5,4 millones de dólares. Los atacantes no explotaron ninguna vulnerabilidad en el código del contrato inteligente, sino que usaron una clave de firma comprometida para retirar los fondos como si fueran operaciones legítimas. El incidente es el último capítulo en una serie de ataques a bridges que, solo en mayo, acumulan pérdidas por más de 328 millones de dólares.
Cómo se produjo el ataque: claves comprometidas y fondos drenados
Los datos on-chain, señalados inicialmente por el analista Specter y confirmados por PeckShield, muestran que los hackers retiraron 4,3 millones en USDC (la stablecoin de Circle), 274 ethers (ETH) valorados en ese momento en unos 553.000 dólares, 434.000 dólares en USDT de Tether y 64.000 dólares adicionales en el token PAYG. Todo ello se realizó desde el contrato verificado del puente en Ethereum, aprovechando un acceso privilegiado que convertía los retiros en aparentemente autorizados.
Tras el drenaje, los atacantes intercambiaron la mayor parte de las stablecoins por ETH para dificultar el rastreo y ahora controlan 2.102 ETH, equivalentes a unos 4,23 millones de dólares. Parte de los fondos se movieron a través de ChangeNow (un servicio non-custodial de intercambio) y de Binance, según detalló PeckShield. La investigación apunta a que no hubo un fallo en el contrato inteligente, sino una clave de firma comprometida: un vector de ataque mucho más simple y devastador.
El talón de Aquiles de los puentes cross-chain: un historial de exploits millonarios
Para entenderlo, hay que imaginar un puente entre dos islas. Gravity Bridge conecta Ethereum con el ecosistema Cosmos a través del protocolo IBC, permitiendo que activos como USDC viajen de una cadena a otra. Estos puentes funcionan gracias a un conjunto reducido de validadores que custodian las llaves criptográficas necesarias para autorizar los movimientos. Si una de esas llaves cae en malas manos, el puente se convierte en un grifo abierto.
No es un caso aislado. El historial lo confirma: el hack a Ronin (el puente de Axie Infinity) costó 625 millones de dólares en 2022; Poly Network perdió 611 millones en 2021; y más recientemente, el exploit de Meter bridge usó una técnica muy parecida a la de Gravity. Solo en mayo de 2026, PeckShield ha contabilizado ocho grandes ataques a bridges que suman 328,6 millones de dólares. El patrón común: claves concentradas que representan un punto único de fallo, sin necesidad de manipular complejos smart contracts.
Un único fallo de firma puede drenar millones en minutos. La promesa de las finanzas descentralizadas choca con la realidad de que unas pocas claves concentran un poder desproporcionado.
Antes del ataque, Gravity Bridge mantenía un valor total bloqueado (TVL) cercano a los 11,5 millones de dólares. El drenaje se llevó casi la mitad de golpe. El equipo del proyecto no ha emitido ningún comunicado oficial al cierre de esta edición, lo que añade incertidumbre para los usuarios que todavía confían en el puente.
Más allá de la cifra: por qué la seguridad de los bridges nos afecta a todos
Los puentes cross-chain son una pieza fundamental de las finanzas descentralizadas (DeFi). Sin ellos, los ecosistemas de Ethereum, Solana, Cosmos o Polkadot quedarían aislados, incapaces de mover liquidez entre sí. Sin embargo, su historial de seguridad es el eslabón más débil del sector. Cuando un puente colapsa, el daño va más allá de los fondos robados: transmite desconfianza a todo el entramado de protocolos que dependen de él.
En este caso, los emisores de stablecoins como Circle o Tether podrían congelar los USDC y USDT vinculados a las direcciones de los atacantes si se lo solicitan las autoridades. Pero los fondos que ya se cambiaron por ETH o se movieron a través de servicios non-custodial como ChangeNow son más difíciles de recuperar. Los 2.102 ETH robados siguen siendo rastreables en Etherscan, aunque existe el riesgo de que se dividan, se mezclen o salten a otras blockchains.
Lo que nos deja este hack es una lección repetida: la custodia de claves es el verdadero campo de batalla. Mientras los puentes concentren la capacidad de firma en pocas manos, serán objetivos rentables para cualquier atacante que logre comprometer un solo dispositivo o una sola persona. Iniciativas como la computación multiparte (MPC) o los validadores distribuidos tratan de resolverlo, pero su adopción avanza con lentitud. Hasta entonces, cada nuevo lunes puede traer otro titular con un bridge drenado.
