Explotación del puente Axelar y Secret Network: ataque de «acuñación infinita» por 4,67 millones de dólares

El 19 de junio, el proyecto de infraestructura blockchain Axelar confirmó oficialmente el hackeo del puente entre cadenas que conecta su red con el protocolo Secret Network. Como resultado del ataque, el atacante retiró aproximadamente $4,67 millones, aprovechando una vulnerabilidad de tipo «minteo infinito» (infinite mint).
Detalles técnicos del exploit
Mi análisis muestra que el incidente pasó desapercibido durante siete días. Según datos del desarrollador principal de Axelar, Common Prefix, la brecha se descubrió en el contrato inteligente ICS-20, modificado para Secret Network como parte de la conexión IBC con el ecosistema Cosmos. El contrato, responsable de crear activos «envueltos» (saToken), no verificaba el canal de origen de las transacciones entrantes. Esto permitió al atacante falsificar depósitos y emitir tokens sin respaldo.
Dado que las operaciones en el protocolo no requerían permiso, el atacante lanzó una nueva cadena Cosmos con un único validador. A través de ella, enviaba paquetes con denominaciones ficticias de activos, «imprimiendo» efectivamente tokens de la nada.
Magnitud y reacción
El comité de emergencias de Axelar desconectó rápidamente todas las conexiones con Secret Network y Secret-SNIP para evitar más transferencias no autorizadas. El equipo ya está coordinando acciones con exchanges y autoridades policiales para rastrear los fondos. Es importante destacar que el incidente solo afectó a las monedas saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network permanecieron intactos.
El mercado reacciona de manera paradójica
A pesar del informe del robo, el precio del token nativo de Secret (SCRT) saltó casi un 6% en el momento, alcanzando los $0,06. Tras una corrección, el activo se negocia alrededor de $0,058, manteniendo una ganancia diaria de aproximadamente el 3%. La capitalización de mercado es de unos $20 millones. Mientras tanto, desde su máximo histórico en octubre de 2021 de $10,64, SCRT se ha desplomado un 99,5%.

Este caso recuerda los riesgos sistémicos que conllevan los contratos inteligentes obsoletos o mal probados en los puentes entre cadenas. Anteriormente, en junio, los hackers atacaron dos veces contratos obsoletos en la red L2 Aztec, causando daños por $2,19 millones y $2,15 millones respectivamente.
Mi evaluación experta: Este incidente es un eslabón más en la cadena de ataques a soluciones de puentes, que siguen siendo el punto más vulnerable en la infraestructura DeFi. La falta de verificación del canal de transacciones entrantes es un error grave, pero clásico. Los inversores deberían prestar más atención a los proyectos donde los activos envueltos se emiten sin una verificación estricta. Hasta que el equipo de Axelar proporcione una auditoría completa y un plan de corrección, la confianza en el puente seguirá siendo cuestionable.