Vulnerabilidad crítica de «minteo infinito» en el puente Axelar y Secret Network: robo de $4,67 millones

El 19 de junio, el proyecto de infraestructura blockchain Axelar confirmó oficialmente el hackeo del puente cross-chain que conecta su red con el protocolo Secret Network. Como resultado del ataque, el atacante logró retirar activos digitales por un valor aproximado de $4,67 millones. La causa clave del incidente fue la explotación de una vulnerabilidad conocida como «infinite mint bug» (error de acuñación infinita).
Detalles técnicos del ataque
Según determinó el equipo de desarrolladores de Common Prefix, el error fue detectado en una versión modificada del contrato inteligente CW20-ICS20, desplegado en el lado de Secret Network como parte de la conexión IBC con el ecosistema Cosmos. El problema radicaba en la falta de verificación del canal del que provenían las transacciones entrantes. El algoritmo del contrato creaba automáticamente versiones «envueltas» de los activos (saToken) sin verificar la legitimidad del depósito. Esto permitió al atacante fabricar depósitos y emitir tokens de forma ilimitada sin ningún respaldo real.
Cabe destacar que el atacante no necesitó permiso para iniciar las operaciones. Simplemente desplegó en Cosmos su propia cadena con un solo validador, desde donde enviaba paquetes con denominaciones ficticias de activos. El robo pasó desapercibido durante siete días, una señal alarmante sobre las deficiencias en el monitoreo de la actividad on-chain.
Magnitud y reacción
El Comité de Emergencias de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para evitar más transferencias no autorizadas. Actualmente, el equipo coordina acciones con exchanges de criptomonedas y autoridades policiales para rastrear y posiblemente recuperar los fondos robados. Es importante destacar que el incidente afectó exclusivamente a las monedas saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network no resultaron afectados.
Reacción del mercado y contexto
A pesar de un evento tan grave, el mercado reaccionó de manera inesperadamente positiva. El precio del token nativo de Secret (SCRT) subió casi un 6% en el momento, alcanzando los $0,06. Tras una corrección, el activo cotiza alrededor de $0,058, manteniendo un crecimiento diario de aproximadamente el 3%. La capitalización actual ronda los $20 millones. Sin embargo, cabe recordar que en su máximo histórico en octubre de 2021, SCRT valía $10,64, lo que representa una caída del 99,5% desde los picos, subrayando una profunda tendencia bajista para este activo.
Mi análisis experto: Este incidente es otro recordatorio de que las vulnerabilidades en los contratos inteligentes de puentes siguen siendo una de las amenazas más peligrosas en DeFi. La falta de una verificación básica del canal en el contrato ICS-20 es un error arquitectónico grave que no debería haber superado una auditoría. El aumento del precio de SCRT tras el hackeo probablemente indica una liquidación especulativa a corto plazo de posiciones cortas, más que una recuperación real de la confianza en el proyecto. Los inversores deben ser extremadamente cautelosos con activos cuyo valor ha caído un 99% desde sus máximos históricos, ya que los riesgos de una mayor devaluación y problemas técnicos siguen siendo altos.