Explotación del «minteo infinito»: Axelar pierde $4,67 millones en un ataque al puente con Secret Network

El 19 de junio, el proyecto de infraestructura blockchain Axelar confirmó la explotación de una vulnerabilidad crítica en el puente que conecta su red con el protocolo de privacidad Secret Network. Como resultado del incidente, un atacante sustrajo activos por un valor aproximado de $4,67 millones, utilizando el llamado "error de acuñación infinita" (infinite-mint bug).
Según el desarrollador principal de Axelar, el equipo de Common Prefix, la vulnerabilidad fue descubierta en el contrato inteligente ICS-20 del lado de Secret Network, dentro de la conexión IBC con el ecosistema Cosmos. El contrato, diseñado para crear versiones "envueltas" de activos (saToken), no verificaba el canal de origen de la transacción entrante. Este error permitió al atacante falsificar depósitos y emitir tokens sin ningún respaldo real.
Una característica clave del ataque fue que no requería permisos adicionales. El atacante lanzó su propia cadena en Cosmos con un único validador, y luego comenzó a enviar paquetes a través de IBC con denominaciones falsas de activos. El robo pasó desapercibido durante siete días.
En respuesta al incidente, el Comité de Emergencia de Axelar desactivó inmediatamente las conexiones Secret y Secret-SNIP para evitar más transferencias no autorizadas. Actualmente, el equipo está coordinando acciones con intercambios y autoridades policiales para rastrear los fondos robados y su posible recuperación.
Es importante destacar que el ataque fue estrictamente limitado. Solo se vieron afectadas las monedas saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network (SCRT) no se vieron comprometidos. Curiosamente, el mercado reaccionó a la noticia de manera paradójica: el precio del token SCRT se disparó casi un 6%, alcanzando los $0,06, para luego corregir a ~$0,058, manteniendo un aumento diario de aproximadamente el 3%.
Comentario analítico: Este incidente es un ejemplo clásico de cómo incluso las soluciones entre cadenas consolidadas pueden sufrir errores fundamentales en la lógica de los contratos. La falta de validación del canal de la transacción entrante es un error grave que socava por completo la confianza en el puente. La reacción paradójica del mercado con el aumento de SCRT probablemente esté relacionada con el cierre de posiciones cortas o expectativas especulativas de recompra de tokens, pero fundamentalmente no cambia la gravedad de la vulnerabilidad en la infraestructura.