Axelar sufrió un exploit de puente con Secret Network: daño de $4,67 millones debido a un error de «emisión infinita»

El 19 de junio, el equipo del proyecto blockchain Axelar confirmó el hackeo del puente cross-chain que conecta su protocolo con Secret Network. El atacante logró extraer aproximadamente $4,67 millones aprovechando una vulnerabilidad conocida como «error de acuñación infinita» (infinite mint bug). Este ataque pasó desapercibido durante siete días, un período considerable para este tipo de incidentes, lo que indica un alto nivel de sofisticación por parte del atacante.
Detalles técnicos y vector de ataque
Según determinaron los especialistas del equipo Common Prefix, desarrollador principal de Axelar, la raíz del problema residía en un contrato inteligente ICS-20 modificado en el lado de Secret Network, utilizado en la conexión IBC del ecosistema Cosmos. El contrato, responsable de crear versiones «envueltas» de activos (saToken), simplemente no verificaba desde qué canal específico provenía la transacción entrante. Esta brecha permitió al atacante fabricar depósitos y emitir tokens sin ningún respaldo real. La operación no requería permiso: el hacker lanzó su propia cadena en Cosmos con un solo validador, desde la cual enviaba paquetes con denominaciones falsas de activos.
Respuesta y alcance del incidente
En respuesta a la amenaza, el Comité de Emergencia de Axelar desconectó inmediatamente las conexiones Secret y Secret-SNIP para bloquear futuras transferencias no autorizadas. Actualmente, el equipo coordina acciones con exchanges y autoridades policiales para rastrear los fondos robados y facilitar su recuperación. Es importante destacar que el incidente afectó exclusivamente a las monedas saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network no resultaron afectados.
Reacción del mercado
A pesar de este sonado evento, el precio del token nativo de Secret Network (SCRT) mostró una volatilidad inesperada. En un momento, las cotizaciones se dispararon casi un 6%, alcanzando los $0,06. Tras una corrección, el activo cotiza alrededor de $0,058, manteniendo un crecimiento diario de aproximadamente el 3%. La capitalización de mercado de SCRT es de unos $20 millones. Para contexto, el máximo histórico se registró en octubre de 2021 en $10,64, casi un 99,5% por encima de los valores actuales.
Comentario del experto: Este incidente subraya una vez más la importancia crítica de auditar los contratos inteligentes en soluciones cross-chain. La vulnerabilidad de «acuñación infinita» es un problema clásico, pero, como vemos, sigue siendo efectivo para los puentes. El hecho de que el ataque pasara desapercibido durante una semana indica la necesidad de implementar sistemas de monitoreo de actividad on-chain más avanzados. Los inversores deben recordar: mientras los puentes sigan siendo el punto más vulnerable de DeFi, los riesgos de pérdida de fondos persisten incluso para protocolos aparentemente bien protegidos.