Crypto news

21.06.2026
21:27

El hackeo del puente Axelar y Secret Network: vulnerabilidad de "acuñación infinita" por $4,67 millones

El 19 de junio, el proyecto blockchain Axelar confirmó oficialmente un ataque al puente que lo conecta con el protocolo Secret Network. Como resultado del ataque, el atacante extrajo aproximadamente $4.67 millones, explotando una vulnerabilidad crítica conocida como el "error de acuñación infinita" (infinite-mint bug).

Como muestran los resultados de mi análisis, el incidente pasó desapercibido durante siete días. El desarrollador principal de Axelar, el equipo Common Prefix, descubrió que el error estaba integrado en el contrato inteligente ICS-20 del lado de Secret Network, utilizado en la conexión IBC del ecosistema Cosmos. El problema radicaba en que el algoritmo creaba versiones "envueltas" de activos (saToken), pero no verificaba desde qué canal exacto provenía la transacción entrante. Esto permitió al atacante falsificar depósitos y emitir tokens sin respaldo real.

Dado que las operaciones en la red Cosmos no requerían permisos, el atacante lanzó su propia cadena con un solo validador. Desde allí, enviaba paquetes con denominaciones falsas de activos, lo que provocó la emisión no autorizada. En respuesta, el comité de emergencia de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para evitar más transferencias. Actualmente, el equipo coordina acciones con intercambios y autoridades policiales para rastrear los fondos robados y recuperarlos.

Es importante destacar que el incidente solo afectó a ciertos activos: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network permanecieron intactos. Esto indica la naturaleza local del ataque, pero no resta gravedad a la vulnerabilidad en la infraestructura entre redes.

A pesar de las impactantes noticias, el mercado reaccionó de manera paradójica. El precio del token Secret (SCRT) en el momento de la publicación saltó casi un 6%, alcanzando los $0.06. Tras una ligera corrección, el activo se negocia alrededor de $0.058, manteniendo un crecimiento diario de aproximadamente el 3%. La capitalización de mercado asciende a unos $20 millones. En comparación, en su máximo histórico de octubre de 2021, SCRT valía $10.64, un 99.5% por encima de las cotizaciones actuales. Esta dinámica sugiere que el mercado podría estar descontando la rápida respuesta del equipo, más que el hackeo en sí.

Opinión de experto de Cryptalist: Este incidente es otro recordatorio de que los puentes entre redes siguen siendo el punto más vulnerable en DeFi. La vulnerabilidad de "acuñación infinita" es un error clásico relacionado con una validación insuficiente de canales en los protocolos IBC. Hasta que los equipos implementen mecanismos de verificación más estrictos a nivel de contratos, este tipo de ataques se repetirán. Los inversores deberían prestar más atención a los activos que pasan por dichos puentes, especialmente en períodos de alta volatilidad.