Взлом моста Axelar и Secret Network: уязвимость «бесконечного минта» обошлась в $4,67 млн

El 19 de junio, el proyecto blockchain Axelar confirmó oficialmente el hackeo del puente entre cadenas que lo conecta con el protocolo Secret Network. El atacante, aprovechando una vulnerabilidad de "minteo infinito", extrajo aproximadamente $4.67 millones en activos envueltos. El incidente pasó desapercibido durante siete días, lo que indica un nivel insuficiente de monitoreo de transacciones por parte de Secret Network.
Detalles del ataque y contexto técnico
Según el desarrollador principal de Axelar, Common Prefix, el error se encontró en el contrato inteligente ICS-20, implementado en Secret Network como parte de la conexión Cosmos IBC. El problema radicaba en que el contrato, que crea versiones "envueltas" de activos (saToken), no verificaba el canal de origen de las transacciones entrantes. Esto permitió al atacante falsificar depósitos y emitir tokens sin respaldo real.
Para ejecutar el ataque, el atacante lanzó una nueva cadena con un solo validador en el ecosistema Cosmos. Desde esta cadena, envió paquetes con denominaciones falsas de activos, lo que provocó la emisión de saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH sin respaldo. Las operaciones no requerían permiso, lo que hizo que la vulnerabilidad fuera fácilmente explotable.
Reacción y consecuencias para el mercado
El comité de emergencia de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para detener transferencias no autorizadas adicionales. El equipo coordina acciones con intercambios y autoridades para rastrear los fondos y su posible recuperación. Es importante destacar que el protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network no se vieron afectados.
A pesar del informe del hackeo, el precio del token Secret (SCRT) subió casi un 6% en el momento, alcanzando $0.06. Tras una corrección, el activo se cotiza alrededor de $0.058, manteniendo un crecimiento diario de aproximadamente el 3%. La capitalización de mercado es de unos $20 millones. Mientras tanto, en su máximo histórico en octubre de 2021, SCRT valía $10.64, un 99.5% más que las cotizaciones actuales.
Opinión de expertos
Este incidente es otra señal de alerta para toda la industria de puentes entre cadenas. Las vulnerabilidades de "minteo infinito" se están volviendo clásicas, pero los proyectos continúan ignorando las verificaciones básicas de canales y la auditoría de contratos inteligentes. Mientras los puentes sigan siendo el eslabón débil de DeFi, los inversores deben esperar que se repitan ataques similares, especialmente en redes menos líquidas donde el monitoreo de seguridad deja mucho que desear.