El hackeo del puente Axelar y Secret Network: el hacker robó $4,67 millones a través de una emisión infinita

El 19 de junio, el proyecto blockchain Axelar reveló el hackeo de su puente entre cadenas con Secret Network. El atacante extrajo aproximadamente $4.67 millones explotando una vulnerabilidad de tipo "infinite mint bug". El incidente pasó desapercibido durante siete días.
Cómo ocurrió el ataque
Durante el análisis de expertos realizado por el equipo de Common Prefix, el desarrollador principal de Axelar, el error fue detectado en el contrato inteligente ICS-20, implementado en el lado de Secret Network como parte de la conexión IBC de Cosmos. Este contrato era responsable de crear versiones "envueltas" de activos (saToken), pero no verificaba desde qué canal exacto provenía la transacción entrante. Esto permitió al atacante falsificar depósitos y emitir tokens sin respaldo real.
Dado que las operaciones no requerían permiso, el atacante lanzó su propia cadena con un solo validador en la red Cosmos, desde la cual enviaba paquetes con montos ficticios de activos. De esta manera, pudo emitir versiones no respaldadas de saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH.
Reacción y consecuencias
El comité de emergencia de Axelar desconectó inmediatamente las conexiones Secret y Secret-SNIP para detener nuevas transferencias no autorizadas. El equipo está coordinando activamente con exchanges y autoridades para rastrear los fondos y facilitar su recuperación. Es importante destacar: el protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network no se vieron afectados.
Mercado y reacción del token SCRT
A pesar del informe del robo, el precio del token nativo de Secret Network (SCRT) subió casi un 6% en el momento, alcanzando los $0.06. Tras una ligera corrección, el activo se negocia alrededor de $0.058, manteniendo un crecimiento diario de aproximadamente el 3%. La capitalización de mercado actual es de unos $20 millones. En comparación, en su máximo histórico de octubre de 2021, SCRT valía $10.64, un 99.5% por encima de las cotizaciones actuales. Esto sugiere que el mercado percibió la noticia como un incidente local que no amenaza el valor fundamental del proyecto.
Mi análisis: Este hackeo es un ejemplo clásico de vulnerabilidad en la lógica de contratos inteligentes, relacionada con una validación insuficiente de mensajes entre cadenas. A pesar de la respuesta rápida, el incidente subraya la necesidad crítica de auditar todas las conexiones IBC y contratos, especialmente aquellos responsables de la emisión de activos. Mientras el mercado se mantiene tranquilo, la reputación a largo plazo de la infraestructura entre cadenas requiere un fortalecimiento fundamental de las medidas de seguridad.