Взлом моста Axelar и Secret Network: хакер похитил $4,67 млн через уязвимость «бесконечного минта»

El 19 de junio, el proyecto blockchain Axelar confirmó oficialmente el hackeo del puente entre cadenas que lo conecta con el protocolo Secret Network. El atacante logró retirar activos por un valor aproximado de $4,67 millones, aprovechando una vulnerabilidad crítica conocida como «minteo infinito» (infinite mint). Es notable que el robo pasó desapercibido durante siete días, lo que indica una falta de capacidad de respuesta en el monitoreo del ecosistema.
Mecanismo del ataque: cómo el hacker eludió la seguridad
Según determinó el equipo de desarrolladores de Common Prefix, el fallo estaba integrado en el contrato inteligente ICS-20, implementado en el lado de Secret Network dentro de la conexión IBC de Cosmos. Este contrato era responsable de crear versiones «envueltas» de activos (saToken), pero no verificaba desde qué canal específico provenía la transacción entrante. Esta negligencia en la validación permitió al atacante falsificar depósitos y emitir tokens sin respaldo real.
Para ejecutar el ataque, el hacker lanzó su propia cadena en Cosmos con un solo validador, desde donde enviaba paquetes con denominaciones falsas de activos. Dado que las operaciones no requerían permiso, pudo acuñar tokens sin control, que luego retiró a través del puente.
Reacción de Axelar y alcance de las consecuencias
El comité de emergencias de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para detener nuevas transferencias no autorizadas. Actualmente, el equipo coordina acciones con exchanges y autoridades policiales para rastrear los fondos robados y su posible recuperación.
Es importante destacar que el incidente afectó solo a las monedas saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network permanecieron intactos. Esto limita el daño, pero no elimina la preocupación sobre la seguridad de la infraestructura entre cadenas en general.
El mercado no entra en pánico: el paradójico aumento de SCRT
A pesar de la noticia del hackeo, el precio del token Secret (SCRT) subió casi un 6% en el momento, alcanzando los $0,06. Tras una corrección, el activo cotiza alrededor de $0,058, manteniendo un aumento diario de aproximadamente el 3%. La capitalización de mercado es de unos $20 millones. En comparación, en su máximo histórico de octubre de 2021, SCRT valía $10,64, un 99,5% por encima de las cotizaciones actuales. El mercado parece haber percibido el incidente como local y no amenazante para los fundamentos del proyecto.

Opinión del analista
Este caso demuestra una vez más que las vulnerabilidades de «minteo infinito» siguen siendo una de las amenazas más peligrosas para los puentes entre cadenas. La falta de verificación del origen de las transacciones entrantes es un error grave que podría haberse prevenido durante la fase de auditoría. Los inversores deberían prestar más atención a los proyectos que utilizan estándares de contratos modificados y exigir informes públicos de seguridad.