Vulnerabilidad crítica de «minteo infinito»: Exploit del puente Axelar y Secret Network por $4.67 millones

El 19 de junio de 2026, el equipo del protocolo entre cadenas Axelar confirmó oficialmente la explotación de una vulnerabilidad crítica en el puente que conecta su infraestructura con la red Secret Network. El atacante logró retirar activos digitales por un valor aproximado de $4,67 millones, utilizando un vector de ataque clásico: el "error de acuñación infinita" (infinite mint bug). Es notable que el incidente pasó desapercibido durante siete días, lo que indica graves deficiencias en los sistemas de monitoreo.
Cómo se ejecutó el ataque
Mi análisis de la situación, basado en datos del desarrollador principal de Axelar, el equipo Common Prefix, muestra que el error se localizó en el contrato inteligente ICS-20 del lado de Secret Network. Este contrato era responsable de crear versiones "envueltas" de activos (saToken) en el ecosistema Cosmos IBC. El error crítico consistía en la falta de validación del canal del que provenía la transacción entrante. En lugar de verificar la legitimidad de la fuente, el contrato confiaba ciegamente en cualquier paquete de datos.
Aprovechando esto, el atacante lanzó su propia cadena Cosmos con un único validador. A través de este canal, enviaba paquetes falsificados con denominaciones arbitrarias de activos, lo que le permitía emitir tokens ilimitadamente sin ningún respaldo real. En esencia, fue un caso clásico de manipulación del mecanismo de consenso a nivel de aplicación.
Magnitud del daño y reacción
El comité de emergencias de Axelar reaccionó rápidamente, desconectando las conexiones Secret y Secret-SNIP para evitar más fugas. Actualmente, el equipo coordina acciones con intercambios y autoridades policiales para rastrear los fondos robados. Es importante destacar que, según la declaración, el incidente se limita a monedas específicas: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network no se vieron afectados.
Curiosamente, la noticia del hackeo no provocó ventas de pánico. Por el contrario, el precio del token Secret (SCRT) subió casi un 6% en el momento, alcanzando los $0,06. Tras una corrección, el activo cotiza alrededor de $0,058, manteniendo un crecimiento diario de aproximadamente el 3%. La capitalización de mercado es de unos $20 millones. Sin embargo, no hay que dejarse engañar: en su máximo histórico de octubre de 2021, SCRT valía $10,64, un 99,5% más que las cotizaciones actuales. Esto indica una profunda tendencia bajista que ningún hackeo puede revertir.
Mi perspectiva experta
Este incidente es un recordatorio más de la fragilidad de los puentes entre cadenas, especialmente aquellos que utilizan versiones modificadas de contratos estándar. La falta de verificación del canal de la transacción entrante es un error básico que no debería haber pasado la auditoría. El mercado parece haberse acostumbrado a este tipo de hackeos, lo que explica la ausencia de una caída significativa en SCRT. Sin embargo, para los inversores, esto es una señal de alerta: si el equipo no puede garantizar la seguridad de la conexión base, la confianza en la red se verá socavada a largo plazo, a pesar del crecimiento a corto plazo.