El ataque al puente Axelar y Secret Network: una vulnerabilidad de "acuñación infinita" provocó una pérdida de $4,67 millones
El 19 de junio de 2026, el proyecto blockchain Axelar confirmó oficialmente el hackeo del puente cross-chain que lo conecta con Secret Network. Como resultado del incidente, el atacante retiró fondos por un valor aproximado de $4.67 millones, aprovechando una vulnerabilidad crítica conocida como "infinite mint bug".
Detalles del ataque: cómo ocurrió
El robo pasó desapercibido durante siete días, lo que indica una falta de capacidad de respuesta en los sistemas de monitoreo. El análisis realizado por el equipo de Common Prefix, el desarrollador principal de Axelar, mostró que el error estaba presente en el contrato inteligente ICS-20, implementado en el lado de Secret Network como parte de la conexión IBC del ecosistema Cosmos. Este contrato era responsable de crear versiones "envueltas" de activos (saToken), pero no verificaba la legitimidad del canal del que provenía la transacción entrante.
El atacante aprovechó esta falla para falsificar depósitos. Lanzó su propia cadena en Cosmos con un único validador, desde la cual enviaba paquetes con denominaciones falsas de activos. Dado que las operaciones en la red no requerían permisos, el contrato emitía automáticamente tokens sin ningún respaldo real.
Reacción y magnitud del daño
El comité de emergencia de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para bloquear más transferencias no autorizadas. Actualmente, el equipo coordina acciones con exchanges y autoridades policiales para rastrear los fondos robados y su posible recuperación.
Es importante destacar que el incidente afectó exclusivamente a las monedas saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network permanecieron intactos. Esto sugiere que la vulnerabilidad era de carácter local y estaba relacionada con la implementación específica del contrato.
El mercado no entra en pánico: SCRT muestra crecimiento
Contrario a lo esperado, la noticia del hackeo no provocó un desplome del token Secret (SCRT). Por el contrario, su precio subió casi un 6% en el momento, alcanzando los $0.06. Tras una ligera corrección, el activo cotiza alrededor de $0.058, manteniendo un crecimiento diario de aproximadamente el 3%. La capitalización del proyecto ronda los $20 millones.
Para contexto: en su máximo histórico de octubre de 2021, SCRT valía $10.64, un 99.5% más que las cotizaciones actuales. Esta fuerte caída desde los picos hace que el token sea altamente especulativo, y la reacción actual del mercado parece más un rebote tras la identificación de la vulnerabilidad que una señal de recuperación de la confianza.
Recordemos que en junio, hackers atacaron dos veces contratos obsoletos en la red L2 Aztec, causando daños de $2.19 millones y $2.15 millones respectivamente. Estos incidentes resaltan un problema sistémico: incluso con protocolos de seguridad modernos, las vulnerabilidades en código antiguo o contratos no verificados siguen siendo el "talón de Aquiles" del ecosistema DeFi.
Comentario experto de Cryptalist: Este incidente es otro recordatorio de que los puentes cross-chain siguen siendo el principal objetivo de los ataques. La vulnerabilidad de "infinite mint" es un ejemplo clásico de cómo la falta de validación de datos de entrada puede comprometer por completo un pool de liquidez. Los inversores deberían prestar atención a proyectos que implementen auditorías de contratos inteligentes en tiempo real y mecanismos de bloqueo automático de transacciones sospechosas. Sin esto, cualquier integración entre blockchains conlleva un riesgo significativo.