Explotación del puente Axelar y Secret Network: vulnerabilidad de "acuñación infinita" por $4,67 millones
El 19 de junio registré un incidente en el puente entre redes de Axelar y el protocolo Secret Network. El atacante, aprovechando una vulnerabilidad crítica, extrajo aproximadamente 4,67 millones de dólares. El ataque se basó en un error de "minteo infinito" (infinite mint bug), un vector clásico pero muy peligroso para la infraestructura entre cadenas.
El exploit pasó desapercibido durante siete días, lo que indica una monitorización insuficiente por parte de los equipos. Según mi análisis, la vulnerabilidad se encontró en el contrato modificado CW20-ICS20 del lado de Secret Network, que se encargaba de procesar las conexiones IBC en el ecosistema Cosmos. El problema radicaba en la falta de verificación del canal de la transacción entrante. El contrato creaba versiones "envueltas" de los activos (saToken) sin verificar de qué canal procedían los datos.
El atacante lanzó su propia cadena Cosmos con un solo validador, lo que le permitió simular depósitos y emitir tokens sin ningún respaldo real. Esto le dio la capacidad de falsificar los valores nominales de los activos y retirar fondos. El comité de emergencia de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para evitar más transferencias no autorizadas. Actualmente se está coordinando con exchanges y autoridades policiales para rastrear y, posiblemente, recuperar los fondos.
Alcance y consecuencias
El incidente afectó exclusivamente a las monedas saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network no se vieron afectados. Sin embargo, para el mercado, esto fue una señal de alerta.
Curiosamente, el precio del token Secret (SCRT) mostró un aumento a corto plazo de casi el 6% tras las noticias del hackeo, alcanzando los 0,06 dólares. Tras la corrección, el activo cotiza alrededor de 0,058 dólares, manteniendo una ganancia diaria de aproximadamente el 3%. La capitalización de mercado es de unos 20 millones de dólares. Sin embargo, cabe recordar que desde su máximo histórico en octubre de 2021 (10,64 dólares), SCRT ha caído un 99,5%.
Mi comentario experto
Este caso vuelve a poner de manifiesto el problema sistémico de los puentes entre cadenas: incluso un solo error en la verificación del canal puede provocar pérdidas multimillonarias. La industria necesita migrar hacia arquitecturas más robustas, como puentes zk u oráculos descentralizados con verificación multinivel. El mercado, como siempre, reacciona de forma irracional: el aumento de SCRT tras el hackeo indica más un interés especulativo que una solidez fundamental del proyecto.