El hackeo del puente Axelar y Secret Network: una vulnerabilidad de "emisión infinita" provocó una pérdida de $4.67 millones

El 19 de junio, el proyecto de infraestructura blockchain Axelar confirmó oficialmente el hackeo del puente entre cadenas que conecta su red con el protocolo Secret Network. El atacante logró retirar aproximadamente $4,67 millones aprovechando una vulnerabilidad crítica conocida como «minteo infinito» (infinite mint).
Según el equipo analítico de Common Prefix, que actúa como desarrollador clave de Axelar, la brecha se encontró en el contrato inteligente ICS-20, desplegado en el lado de Secret Network como parte de la conexión IBC del ecosistema Cosmos. El contrato se encargaba de crear versiones «envueltas» de activos (saToken), pero no verificaba el canal del que provenían las transacciones entrantes. Esto permitió al atacante falsificar depósitos y emitir tokens sin respaldo real.
Dado que las operaciones en la red Secret Network no requerían permiso, el hacker lanzó su propia cadena Cosmos con un único validador. Desde esta cadena, enviaba paquetes con denominaciones falsas de activos, lo que provocó una emisión incontrolada de tokens.
El robo pasó desapercibido durante siete días. El comité de emergencia de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para evitar más transferencias no autorizadas. El equipo del proyecto coordina acciones con exchanges de criptomonedas y autoridades policiales para rastrear los fondos robados y recuperarlos.
El incidente afectó solo a las monedas saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network permanecieron intactos.
A pesar del informe del robo, el precio del token Secret (SCRT) subió casi un 6% en el momento, alcanzando los $0,06. Tras una corrección, el activo cotiza alrededor de $0,058, manteniendo un aumento diario de aproximadamente el 3%. La capitalización de mercado es de unos $20 millones. Mientras tanto, el máximo histórico de SCRT en octubre de 2021 fue de $10,64, un 99,5% por encima de las cotizaciones actuales.
Mi análisis: Este caso vuelve a resaltar el problema sistémico de seguridad de los puentes entre cadenas, especialmente aquellos que utilizan contratos personalizados sin una auditoría adecuada de los canales de entrada. La vulnerabilidad de «minteo infinito» es un error clásico que podría haberse prevenido con pruebas más exhaustivas en la etapa de despliegue. Es interesante que el mercado reaccionara a la noticia con un aumento de SCRT, lo que podría indicar una baja elasticidad de la demanda o la confianza de la comunidad en la capacidad del equipo para resolver el problema sin consecuencias a largo plazo para la red.