El puente Axelar y Secret Network fue hackeado por $4.67 millones debido a una vulnerabilidad crítica.
El 19 de junio de 2026, la infraestructura blockchain Axelar confirmó el hackeo del puente entre cadenas que la conecta con el protocolo Secret Network. Como resultado del ataque, el atacante retiró activos digitales por un valor aproximado de $4,67 millones, explotando el llamado error de "minteo infinito".
El incidente pasó desapercibido durante siete días. El desarrollador principal de Axelar, el equipo Common Prefix, descubrió que la vulnerabilidad se encontraba en el contrato inteligente modificado ICS-20 del lado de Secret Network, utilizado en la conexión IBC del ecosistema Cosmos. El problema radicaba en la falta de verificación del canal de transacciones entrantes: el algoritmo que creaba versiones "envueltas" de activos (saToken) no verificaba la fuente del depósito.
Esto permitió al atacante falsificar depósitos y emitir tokens sin respaldo. Para ejecutar el esquema, el hacker lanzó su propia cadena Cosmos con un solo validador, desde donde enviaba paquetes con montos ficticios de activos. Las operaciones no requerían permiso, lo que facilitó la explotación del error.
Reacción y consecuencias
El Comité de Emergencia de Axelar desconectó inmediatamente las conexiones Secret y Secret-SNIP para evitar más transferencias no autorizadas. Actualmente, el equipo coordina esfuerzos con exchanges y autoridades policiales para rastrear los fondos robados y recuperarlos.
Es importante destacar: el incidente afectó exclusivamente a las monedas saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network permanecieron intactos.
A pesar del informe del robo, el mercado reaccionó de manera inesperada: el precio del token Secret (SCRT) subió casi un 6% en el momento, alcanzando los $0,06. Tras una corrección, el activo se negocia alrededor de $0,058, manteniendo un aumento diario de aproximadamente el 3%, y su capitalización de mercado es de ~$20 millones. Sin embargo, cabe señalar que desde su máximo histórico en octubre de 2021 ($10,64), SCRT ha perdido más del 99,5% de su valor, lo que subraya su actual vulnerabilidad y volatilidad.
Este hackeo es un recordatorio más de la importancia crítica de la auditoría de contratos inteligentes en soluciones entre cadenas. La vulnerabilidad de "minteo infinito" en conexiones IBC no es nueva, pero su repetición en un proyecto de la escala de Axelar evidencia los riesgos sistémicos asociados con el despliegue rápido de puentes sin una verificación adecuada de la lógica de emisión de activos.