La vulnerabilidad de "minteo infinito" en el puente Axelar y Secret Network provocó una pérdida de $4,67 millones — análisis del incidente

El 19 de junio, como analista de Cryptalist, registré la revelación de un grave incidente de seguridad que afectó al puente entre cadenas de los protocolos Axelar y Secret Network. El atacante logró retirar aproximadamente $4,67 millones explotando una vulnerabilidad crítica conocida como "acuñación infinita" (infinite mint).
Según los datos proporcionados por el equipo de Common Prefix, el desarrollador principal de Axelar, el error fue detectado en el contrato inteligente ICS-20, implementado en el lado de Secret Network dentro de la conexión IBC (Inter-Blockchain Communication) del ecosistema Cosmos. Este contrato era responsable de crear versiones "envueltas" de activos (saToken), como saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. Sin embargo, en su lógica faltaba una verificación crítica del origen de la transacción entrante: el contrato no verificaba de qué canal exactamente provenían los datos.
Cómo se ejecutó el ataque
Esta vulnerabilidad permitió al atacante falsificar depósitos. Dado que las operaciones en la red Cosmos no requerían permisos, el atacante lanzó su propia cadena de bloques con un único validador. Desde esta cadena controlada, enviaba paquetes con montos ficticios de activos que el contrato ICS-20 en Secret Network aceptaba como legítimos y emitía tokens sin respaldo. El robo pasó desapercibido durante siete días.
Reacción y consecuencias
El comité de emergencia de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para detener nuevas transferencias no autorizadas. Los equipos están coordinando acciones con intercambios y autoridades policiales para rastrear y posiblemente recuperar los fondos. Es importante destacar que el incidente se limita a los activos envueltos mencionados. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network (SCRT) no se vieron afectados.
A pesar de las impactantes noticias, el mercado reaccionó de manera paradójica. El precio del token Secret (SCRT) saltó casi un 6% en el momento, alcanzando los $0,06. Tras una corrección, el activo cotiza alrededor de $0,058, manteniendo un crecimiento diario de aproximadamente el 3%. La capitalización de mercado es de unos $20 millones. Cabe recordar que en su máximo histórico en octubre de 2021, SCRT valía $10,64, un 99,5% por encima de las cotizaciones actuales.
Mi comentario experto: Este incidente es otro doloroso recordatorio de que la complejidad de las interacciones entre cadenas a menudo se convierte en el talón de Aquiles de DeFi. La vulnerabilidad de "acuñación infinita" es un error clásico en contratos donde no se verifica la fuente de los datos. Aunque la reacción de los equipos fue rápida, el hecho de que el robo pasara desapercibido durante una semana completa indica la necesidad de implementar sistemas más avanzados de monitoreo y auditoría en tiempo real. Para los inversores, esto es una señal de mayor precaución al trabajar con cualquier solución de puente nueva o compleja.