Vulnerabilidad de «minteo infinito» en el puente Axelar y Secret Network: pérdida de $4,67 millones y reacción del mercado
El 19 de junio, el equipo del proyecto blockchain Axelar reveló un incidente relacionado con la explotación del puente entre Axelar y el protocolo Secret Network. Como resultado del ataque, un atacante retiró activos por un valor de aproximadamente 4,67 millones de dólares, utilizando una vulnerabilidad crítica conocida como "acuñación infinita" (infinite mint).
Según el análisis realizado por el desarrollador principal de Axelar, Common Prefix, el error se encontró en el contrato inteligente ICS-20 del lado de Secret Network dentro de la conexión IBC del ecosistema Cosmos. El algoritmo, diseñado para crear versiones "envueltas" de activos (saToken), no verificaba desde qué canal provenía la transacción entrante. Esto permitió al atacante falsificar depósitos y emitir tokens sin respaldo real.
El atacante lanzó su propia cadena en Cosmos con un solo validador, desde la cual enviaba paquetes con denominaciones falsas de activos. El robo pasó desapercibido durante siete días, lo que demuestra la dificultad de detectar este tipo de vulnerabilidades en la infraestructura entre cadenas.
Alcance y reacción
El incidente afectó exclusivamente a las monedas saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network no resultaron afectados. El comité de emergencia de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para detener nuevas transferencias no autorizadas. El equipo está coordinando acciones con intercambios y autoridades policiales para rastrear los fondos y facilitar su recuperación.
A pesar del informe del robo, el precio del token Secret (SCRT) subió casi un 6% en el momento, alcanzando los 0,06 dólares. Tras una corrección, el activo se negocia alrededor de 0,058 dólares, manteniendo un aumento diario de aproximadamente el 3%. La capitalización de mercado es de unos 20 millones de dólares. Mientras tanto, en su máximo histórico en octubre de 2021, SCRT valía 10,64 dólares, un 99,5% más que las cotizaciones actuales.
Comentario analítico
Este incidente subraya un problema fundamental de seguridad en los puentes entre cadenas, especialmente aquellos que utilizan contratos complejos con protocolos modificados. La vulnerabilidad de "acuñación infinita" es un ejemplo clásico de cómo una validación insuficiente de los datos entrantes puede llevar a una emisión ilimitada de activos. Sin embargo, el mercado reaccionó de manera inesperada: el aumento a corto plazo de SCRT indica que los inversores pueden percibir estos ataques como fallos temporales, no como amenazas sistémicas. A largo plazo, estos eventos inevitablemente socavan la confianza en los puentes financieros descentralizados, lo que exige que los desarrolladores adopten medidas más estrictas de auditoría y monitoreo.