Explotación del puente Axelar y Secret Network: la vulnerabilidad de "emisión infinita" costó 4,67 millones de dólares
El 19 de junio, la infraestructura blockchain Axelar confirmó un ataque al puente entre cadenas que conecta con el protocolo Secret Network. Como resultado del ataque, el atacante logró retirar activos por un valor aproximado de $4.67 millones, aprovechando una vulnerabilidad crítica conocida como "acuñación infinita" (infinite mint).
Cabe destacar que el robo pasó desapercibido durante siete días. Esto indica la complejidad del monitoreo de transacciones entre redes y la necesidad de implementar sistemas más avanzados de detección temprana de anomalías.
Mecánica del ataque: suplantación de canales y depósitos falsos
Según el análisis realizado por el equipo de desarrolladores de Common Prefix, el error se encontraba en el contrato inteligente ICS-20 del lado de Secret Network, que opera en el ecosistema Cosmos a través de la conexión IBC. El problema principal era la falta de validación del canal entrante: el contrato creaba versiones "envueltas" de los activos (saToken) sin verificar desde qué canal provenía la transacción.
Esto permitió al atacante falsificar depósitos. Inició su propia cadena Cosmos con un solo validador y comenzó a enviar paquetes con denominaciones falsas de activos. Dado que la operación no requería permiso, el atacante podía emitir tokens de forma ilimitada sin ningún respaldo real.
Reacción y consecuencias
El comité de emergencia de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para bloquear transferencias no autorizadas adicionales. El equipo está coordinando acciones con exchanges y autoridades para rastrear y posiblemente recuperar los fondos.
Es importante destacar que el incidente afectó solo a monedas específicas: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network permanecieron intactos.
Reacción del mercado: crecimiento paradójico
A pesar de la noticia del robo, el precio del token nativo de Secret (SCRT) aumentó inesperadamente casi un 6%, alcanzando los $0.06. Tras una corrección, el activo se negocia alrededor de $0.058, manteniendo un crecimiento diario de aproximadamente el 3%. La capitalización de mercado es de unos $20 millones.
Sin embargo, cabe señalar que SCRT está un 99.5% por debajo de su máximo histórico de octubre de 2021 ($10.64). El crecimiento actual probablemente sea un rebote a corto plazo debido a sobrecompra o especulación, no una señal de recuperación fundamental.
Opinión de expertos: Este incidente es un recordatorio más de que las vulnerabilidades en los contratos inteligentes de los puentes entre cadenas siguen siendo una de las amenazas más peligrosas para el ecosistema DeFi. La falta de verificación del canal del paquete entrante es un error grave en la fase de diseño que podría haberse detectado con una auditoría más exhaustiva. Aunque el mercado reaccionó con un aumento de SCRT, a largo plazo podría enfrentar una pérdida de confianza en las soluciones de puentes si estos errores no se corrigen a nivel sistémico.