Взлом моста Axelar и Secret Network: уязвимость «бесконечного минта» обошлась в $4,67 млн
19 de junio, el equipo del proyecto blockchain Axelar reveló los detalles del hackeo del puente entre cadenas que conecta su red con el protocolo Secret Network. El atacante explotó una vulnerabilidad crítica conocida como "acuñación infinita" (infinite mint) y extrajo activos digitales por un valor aproximado de $4.67 millones. Cabe destacar que el robo pasó desapercibido durante siete días, lo que indica una falta de eficiencia en los sistemas de monitoreo de la cadena Secret.
Según el análisis realizado por el desarrollador principal de Axelar, el equipo Common Prefix, el error se encontró en el contrato inteligente ICS-20, implementado en el lado de Secret Network como parte de la conexión IBC de Cosmos. El algoritmo está diseñado para crear versiones "envueltas" de activos (saToken), pero no verificaba desde qué canal específico provenía la transacción entrante. Esto permitió al atacante falsificar depósitos y emitir tokens sin respaldo real. Dado que las operaciones no requerían permiso, el hacker lanzó su propia cadena en Cosmos con un solo validador, desde la cual enviaba paquetes con denominaciones ficticias de activos.
El comité de emergencia de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para detener nuevas transferencias no autorizadas. El equipo ya está coordinando acciones con exchanges y autoridades policiales para rastrear los fondos y su posible recuperación. Es importante destacar que el incidente solo afectó a las monedas saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network no se vieron comprometidos.
A pesar del informe del robo, el precio del token Secret (SCRT) se disparó casi un 6% en el momento, alcanzando los $0.06. Tras una corrección, el activo cotiza alrededor de $0.058, manteniendo un crecimiento diario de aproximadamente el 3%. La capitalización de mercado es de unos $20 millones. Mientras tanto, en su máximo histórico de octubre de 2021, SCRT valía $10.64, un 99.5% por encima de las cotizaciones actuales. Esta reacción del mercado al hackeo parece paradójica, pero podría estar relacionada con expectativas de compensaciones o un entusiasmo temporal en torno a la noticia.
Mi comentario experto: Este incidente es un recordatorio más de que las vulnerabilidades de "acuñación infinita" siguen siendo una de las amenazas más peligrosas para los puentes entre cadenas. La falta de verificación del origen de las transacciones entrantes en los contratos ICS-20 es un error de diseño básico que podría haberse detectado en la fase de auditoría. Para los inversores, esto es una señal: incluso los proyectos grandes con equipos sólidos no están exentos de este tipo de ataques, y la diversificación de riesgos no es solo una recomendación, sino una necesidad.