Explotación del puente Axelar y Secret Network: una vulnerabilidad de "emisión infinita" provocó una pérdida de $4,67 millones
El 19 de junio detecté un grave incidente de seguridad en el puente entre cadenas de Axelar y Secret Network. Como resultado de la explotación de una vulnerabilidad crítica, un atacante retiró activos por un valor aproximado de 4,67 millones de dólares. El ataque pasó desapercibido durante siete días, lo que indica una falta de capacidad de respuesta en los sistemas de monitoreo.
Durante el análisis realizado por el equipo de Common Prefix (desarrollador principal de Axelar), se determinó que la brecha se encontraba en el contrato inteligente ICS-20 del lado de Secret Network, que opera sobre la conexión IBC en el ecosistema de Cosmos. El problema radicaba en la falta de verificación del canal del que provenía la transacción entrante. El contrato creaba versiones "envueltas" de activos (saToken) sin verificar la fuente del depósito. Esto permitió al atacante fabricar depósitos e iniciar un proceso de "acuñación infinita": la emisión de tokens sin respaldo real.
El atacante lanzó su propia cadena Cosmos con un solo validador, desde la cual enviaba paquetes con denominaciones falsas de activos. Dado que el protocolo no requería permiso para tales operaciones, logró manipular los saldos sin obstáculos. El comité de emergencia de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para detener más transferencias no autorizadas. El equipo ahora coordina acciones con intercambios y autoridades policiales para rastrear y recuperar los fondos.
Es importante destacar que el incidente solo afectó a las monedas saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network permanecieron intactos. Esto indica la naturaleza dirigida del ataque, no una falla sistémica.
A pesar de la noticia del robo, el precio del token Secret (SCRT) aumentó paradójicamente casi un 6%, alcanzando los $0,06. Tras una corrección, el activo cotiza alrededor de $0,058, manteniendo un aumento diario de aproximadamente el 3%. La capitalización de mercado es de unos $20 millones. En comparación, en su máximo histórico en octubre de 2021, SCRT valía $10,64, un 99,5% por encima de los niveles actuales. Esta reacción del mercado podría explicarse por una demanda temporal en medio de expectativas de recuperación, pero creo que los inversores deben mantener la precaución: las vulnerabilidades en la infraestructura entre cadenas siguen siendo un riesgo grave para la estabilidad a largo plazo del proyecto.
Mi análisis: Este caso subraya una vez más que la arquitectura de puentes basada en IBC, a pesar de su descentralización, requiere una auditoría exhaustiva de la lógica de los contratos en el lado de las redes receptoras. El error en la verificación del canal es una vulnerabilidad clásica pero peligrosa que los atacantes explotarán hasta que los desarrolladores implementen mecanismos de validación más estrictos. Los inversores deben considerar que incidentes similares pueden repetirse, y la diversificación de activos sigue siendo una estrategia clave de protección.