Explotación del puente Axelar y Secret Network: Un hacker robó $4,67 millones mediante una «emisión infinita»
El 19 de junio, la infraestructura blockchain Axelar confirmó un grave incidente de seguridad relacionado con el puente que conecta la red con el protocolo Secret Network. Como resultado del ataque, el atacante logró retirar activos digitales por un valor aproximado de 4,67 millones de dólares. Según mi análisis, el hackeo se basó en una vulnerabilidad clásica pero peligrosa conocida como "acuñación infinita" (infinite mint).
Según los resultados de la investigación realizada por el equipo principal de desarrolladores de Axelar, Common Prefix, la vulnerabilidad se encontró en un contrato inteligente modificado, CW20-ICS20, responsable de procesar tokens en el lado de Secret Network dentro de la conexión IBC con Cosmos. El error crítico consistía en que el contrato no verificaba de qué canal específico provenía la transacción entrante. El algoritmo creaba versiones "envueltas" de los activos (saToken), pero no verificaba la legitimidad de la fuente del depósito.
Esto permitió al atacante fabricar depósitos y comenzar a emitir tokens sin respaldo real. Dado que las operaciones en la red Cosmos no requieren permiso, el hacker lanzó su propia cadena lateral con un solo validador, desde la cual enviaba paquetes falsos con denominaciones arbitrarias de activos. Es notable que el robo pasara desapercibido durante siete días completos, lo que indica deficiencias en los sistemas de monitoreo.
Tras detectar el incidente, el Comité de Emergencias de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para evitar más transferencias no autorizadas. Actualmente, el equipo coordina esfuerzos con intercambios y autoridades policiales para rastrear los fondos robados y su posible recuperación.
Es importante destacar que el ataque afectó a una lista estrictamente limitada de tokens: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network (SCRT) permanecieron intactos. A pesar de las noticias del hackeo, el mercado reaccionó de manera paradójica: el precio del token Secret (SCRT) subió brevemente casi un 6%, alcanzando los $0,06. Tras una corrección, el activo cotiza alrededor de $0,058, manteniendo un aumento diario de aproximadamente el 3%. La capitalización del proyecto es de unos 20 millones de dólares.
Para contexto: en su máximo histórico de octubre de 2021, SCRT valía $10,64, un 99,5% más que las cotizaciones actuales. Este incidente recuerda ataques recientes a contratos obsoletos en la red L2 Aztec, donde el daño de dos hackeos en junio ascendió a $2,19 millones y $2,15 millones, respectivamente.
Mi comentario experto: Este caso es un duro recordatorio de que la seguridad de los puentes entre cadenas sigue siendo el "talón de Aquiles" de toda la industria. La vulnerabilidad de "acuñación infinita" en contratos modificados no es una tecnología nueva, sino un error básico en la lógica de verificación de datos entrantes. El hecho de que el ataque pasara desapercibido durante una semana plantea serias preguntas sobre la calidad de la auditoría y los procedimientos de monitoreo en el ecosistema. Los inversores deben ser extremadamente cautelosos con los activos que han pasado por puentes, especialmente en períodos de volatilidad, y recordar que incluso los protocolos respetados no están exentos de este tipo de incidentes.