La vulnerabilidad de "minteo infinito" en el puente Axelar le costó al proyecto $4,67 millones: cómo el hacker engañó a Secret Network
El 19 de junio, el protocolo entre cadenas Axelar confirmó el hackeo del puente que conecta su red con la plataforma de privacidad Secret Network. El atacante extrajo activos digitales por valor de aproximadamente $4,67 millones, aprovechando una vulnerabilidad conocida como "error de acuñación infinita" (infinite mint bug).
El incidente pasó desapercibido durante siete días, una señal de alarma para todo el ecosistema de puentes entre redes, que siguen siendo uno de los puntos más débiles en la infraestructura de DeFi.
El desarrollador principal de Axelar, el equipo Common Prefix, realizó un análisis detallado y determinó que el error se encontraba en el contrato inteligente ICS-20 del lado de Secret Network, utilizado en la conexión IBC (Inter-Blockchain Communication) del ecosistema Cosmos. El problema radicaba en que el contrato, que crea versiones "envueltas" de activos (saToken), no verificaba desde qué canal llegaba la transacción entrante. Esto permitió al atacante falsificar depósitos y emitir tokens sin respaldo real.
El atacante lanzó su propia cadena en Cosmos con un único validador y, a través de ella, envió paquetes con denominaciones ficticias de activos. Dado que estas operaciones no requerían permiso, pudo generar tokens de forma infinita hasta vaciar el pool de liquidez del puente.
El comité de emergencia de Axelar desconectó inmediatamente las conexiones Secret y Secret-SNIP para bloquear transferencias no autorizadas adicionales. Actualmente, el equipo coordina con exchanges y autoridades policiales para rastrear los fondos robados. Es importante destacar que el incidente solo afectó a los tokens saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network permanecieron intactos.
El mercado reaccionó a la noticia con un optimismo sorprendente: el precio del token Secret (SCRT) subió momentáneamente casi un 6%, alcanzando los $0,06. Tras una corrección, el activo se negocia alrededor de $0,058, lo que supone un aumento diario de aproximadamente el 3%. La capitalización de mercado es de unos $20 millones. Para contexto: en su máximo histórico de octubre de 2021, SCRT valía $10,64, es decir, las cotizaciones actuales están un 99,5% por debajo de los picos.
Mi análisis: Este caso es otro recordatorio de que los puentes entre cadenas siguen siendo el "talón de Aquiles" de DeFi. La vulnerabilidad de "acuñación infinita" es un vector de ataque clásico pero aún efectivo, que explota una validación insuficiente de los datos entrantes. El equipo de Axelar actuó con rapidez, pero el hecho mismo de un retraso de siete días en la detección indica la necesidad de procedimientos de monitoreo más estrictos. El aumento paradójico de SCRT tras el hackeo probablemente se deba a que los inversores interpretaron la noticia como una "eliminación de la incertidumbre", aunque los riesgos fundamentales para proyectos similares siguen siendo altos.