Axelar revela el exploit del puente Secret Network: la vulnerabilidad de "emisión infinita" costó 4,67 millones de dólares
El 19 de junio, el proyecto de infraestructura blockchain Axelar confirmó oficialmente el hackeo de su puente cross-chain que conecta el ecosistema con el protocolo Secret Network. Como resultado del ataque, el atacante sustrajo activos por un valor aproximado de $4.67 millones, aprovechando una vulnerabilidad crítica conocida como "acuñación infinita" (infinite mint).
El incidente pasó desapercibido durante siete días, lo que subraya la complejidad de monitorear transacciones entre redes en los protocolos L0 modernos. El análisis realizado por el equipo de Common Prefix, el desarrollador principal de Axelar, mostró que la vulnerabilidad estaba incrustada en un contrato inteligente modificado CW20-ICS20 del lado de Secret Network, utilizado en la conexión IBC (Inter-Blockchain Communication) de Cosmos.
Mecanismo del ataque y magnitud del daño
El problema clave radicaba en la falta de verificación del canal remitente al procesar transacciones entrantes. El algoritmo del contrato creaba versiones "envueltas" de los activos (saToken) sin verificar de qué canal específico provenía el depósito. Esto permitió al atacante desplegar su propia cadena Cosmos personalizada con un único validador y enviar desde ella paquetes con denominaciones arbitrarias de activos, acuñando efectivamente tokens sin respaldo real.
El exploit afectó a un grupo específico de activos: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. Es importante destacar que el protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network (SCRT) permanecieron intactos. El comité de emergencia de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para bloquear transferencias no autorizadas adicionales. Actualmente, el equipo coordina acciones con exchanges y autoridades policiales para rastrear y potencialmente recuperar los fondos.
Reacción del mercado y contexto
A pesar de la gravedad del incidente, el mercado reaccionó de manera paradójica. El precio del token Secret (SCRT) saltó momentáneamente casi un 6%, alcanzando los $0.06. Tras una corrección, el activo cotiza alrededor de $0.058, manteniendo un aumento diario de aproximadamente el 3% con una capitalización de mercado de unos $20 millones. Para contexto: en su máximo histórico de octubre de 2021, SCRT valía $10.64, un 99.5% por encima de las cotizaciones actuales. Este caso es un recordatorio más de que incluso durante un mercado "bajista", los hackers no reducen su actividad, y las vulnerabilidades en la infraestructura cross-chain siguen siendo uno de los puntos más críticos para los ataques.
Mi conclusión experta: este incidente vuelve a plantear la necesidad de implementar verificación formal de contratos inteligentes y sistemas de auditoría de múltiples niveles para las conexiones IBC. Mientras la industria no estandarice las verificaciones de canales e implemente mecanismos de "confianza cero" (zero-trust) a nivel de puentes, estos ataques se repetirán, explotando errores lógicos básicos en los contratos.