La vulnerabilidad de "minteo infinito" en el puente Axelar y Secret Network provocó una pérdida de $4,67 millones.
El 19 de junio, detecté la revelación de un incidente en la infraestructura cross-chain de Axelar, relacionado con el puente hacia el protocolo Secret Network. El ataque, basado en la explotación de una vulnerabilidad de "minteo infinito", permitió al atacante retirar aproximadamente $4,67 millones. Es notable que el robo pasara desapercibido durante siete días, lo que indica un profundo nivel de explotación.
Durante el análisis realizado por el equipo de Common Prefix, se descubrió que el error estaba en el contrato inteligente ICS-20 del lado de Secret Network, que opera en el ecosistema Cosmos a través de una conexión IBC. El problema radicaba en la falta de verificación del canal del que provenía la transacción entrante. Esto permitió al atacante falsificar depósitos y emitir versiones "envueltas" de activos (saToken) sin respaldo real.
El atacante fue más allá: lanzó su propia cadena en Cosmos con un solo validador, desde donde enviaba paquetes con denominaciones falsas de activos. Dado que las operaciones no requerían permiso, el proceso resultó completamente automatizado. El comité de emergencias de Axelar desconectó inmediatamente las conexiones Secret y Secret-SNIP para detener más transferencias no autorizadas. Actualmente, el equipo coordina acciones con exchanges y autoridades policiales para rastrear y recuperar los fondos.
Es importante destacar que el incidente afectó solo a activos específicos: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network permanecieron intactos. Esto indica la naturaleza dirigida del ataque, no una vulnerabilidad sistémica.
A pesar de las noticias negativas, el precio del token Secret (SCRT) mostró un crecimiento a corto plazo de casi el 6%, alcanzando los $0,06. Tras una corrección, el activo cotiza alrededor de $0,058, manteniendo un aumento diario de aproximadamente el 3%. La capitalización de mercado es de unos $20 millones. Para contexto: en su máximo histórico en octubre de 2021, SCRT valía $10,64, un 99,5% más que las cotizaciones actuales. Esto indica una presión a largo plazo sobre el activo, a pesar del aumento temporal.
Mi evaluación experta: Este incidente es otra señal de alerta para toda la industria de los puentes cross-chain. Las vulnerabilidades de "minteo infinito" continúan persiguiendo a los proyectos, a pesar de los numerosos ataques anteriores. Los inversores deberían evaluar más cuidadosamente la seguridad de los puentes, especialmente aquellos que utilizan contratos personalizados. Aunque el equipo de Axelar está respondiendo rápidamente, la confianza en este tipo de soluciones se ha visto afectada. Esperamos más pasos para fortalecer las auditorías e implementar mecanismos para prevenir tales ataques en el futuro.