El ataque al puente Axelar y Secret Network: la vulnerabilidad de emisión infinita costó 4,67 millones de dólares

El 19 de junio, el proyecto de infraestructura blockchain Axelar confirmó oficialmente el hackeo del puente entre cadenas que conecta su red con el protocolo Secret Network. El atacante explotó una vulnerabilidad crítica conocida como "error de acuñación infinita" (infinite-mint bug) y retiró activos por un valor aproximado de $4,67 millones. El robo pasó desapercibido durante siete días, lo que indica deficiencias en los sistemas de monitoreo.
Detalles del ataque: suplantación de canales y depósitos falsos
Según el análisis realizado por el desarrollador principal de Axelar, el equipo de Common Prefix, el error se encontró en el contrato inteligente ICS-20, implementado en el lado de Secret Network como parte de la conexión IBC del ecosistema Cosmos. El problema radicaba en que el algoritmo que crea versiones "envueltas" de activos (saToken) no verificaba desde qué canal específico provenía la transacción entrante. Esto permitió al atacante falsificar depósitos e iniciar un proceso de emisión de tokens sin respaldo.
Para llevar a cabo el ataque, el delincuente lanzó su propia cadena en Cosmos con un único validador. Desde esta red controlada, enviaba paquetes con denominaciones falsas de activos, que el puente percibía como legítimos. De esta manera, el hacker obtuvo la capacidad de acuñar una cantidad arbitraria de activos envueltos de Axelar en la plataforma Secret Network sin un respaldo real.
Alcance y consecuencias
El comité de emergencia de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para detener transferencias no autorizadas adicionales. Actualmente, el equipo coordina acciones con intercambios y autoridades policiales para rastrear los fondos robados y su posible recuperación.
Es importante destacar que el incidente afectó exclusivamente a un grupo limitado de monedas: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network permanecieron intactos. Esto sugiere que la vulnerabilidad estaba localizada en un contrato inteligente específico, no en la infraestructura subyacente.
El mercado reacciona de manera extraña: SCRT sube en medio del hackeo
A pesar del informe del robo, el precio del token nativo de Secret Network (SCRT) mostró un aumento inesperado. En un momento, el activo saltó casi un 6%, alcanzando la marca de $0,06. Después de una ligera corrección, SCRT se cotiza alrededor de $0,058, manteniendo un crecimiento diario de aproximadamente el 3%. La capitalización de mercado es de unos $20 millones.
Esta reacción del mercado podría deberse a que los inversores percibieron las rápidas acciones del equipo para aislar el problema como una señal positiva. Sin embargo, cabe señalar que los precios actuales están un 99,5% por debajo del máximo histórico de $10,64, registrado en octubre de 2021. Esto subraya una profunda tendencia bajista para el activo, a pesar de los picos a corto plazo.
Análisis experto
Este incidente es otro recordatorio de que los puentes entre cadenas siguen siendo el punto más vulnerable en el ecosistema DeFi. La vulnerabilidad de "acuñación infinita" es un error clásico en la lógica de verificación de canales, que podría haberse detectado durante la fase de auditoría. El mercado claramente subestima los riesgos asociados con las conexiones IBC, y la reacción del precio de SCRT parece más emocional que racional. En el contexto de ataques recientes a contratos obsoletos en la red Aztec (daños de $2,19 millones y $2,15 millones), este caso confirma que la seguridad de los puentes requiere una revisión radical de prioridades por parte de los desarrolladores.