El hackeo del puente Axelar y Secret Network: la vulnerabilidad de "minteo infinito" costó 4,67 millones de dólares
El 19 de junio, como analista del mercado de criptomonedas, registré un incidente grave en el ecosistema de interacciones entre cadenas. El proyecto blockchain Axelar reveló un ataque al puente que lo conecta con el protocolo Secret Network. El atacante, aprovechando una vulnerabilidad de tipo "minteo infinito", logró extraer fondos por un valor de aproximadamente 4,67 millones de dólares.
El robo pasó desapercibido durante siete días, lo que indica la complejidad y el sigilo del ataque. Durante el análisis del incidente, realizado en conjunto con el equipo de Common Prefix, se determinó que el error se encontraba en el contrato inteligente ICS-20 del lado de Secret Network, dentro de la conexión IBC de Cosmos. El problema radicaba en la falta de verificación del canal del que provenía la transacción entrante. Esto permitía al atacante crear versiones "envueltas" de activos (saToken) sin respaldo real, falsificando depósitos.
Dado que el protocolo no requería permisos para tales operaciones, el atacante lanzó su propia cadena Cosmos con un único validador. Desde esa cadena, enviaba paquetes con denominaciones ficticias de activos, emitiendo así tokens sin respaldo. En respuesta, el Comité de Emergencias de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para evitar más transferencias no autorizadas. Actualmente, el equipo coordina acciones con exchanges y autoridades policiales para rastrear y recuperar los fondos robados.
Es importante destacar que el incidente afectó exclusivamente a las monedas saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network permanecieron intactos. A pesar de la gravedad de la situación, el mercado reaccionó de manera mixta: el precio del token Secret (SCRT) subió momentáneamente casi un 6%, alcanzando los $0,06, para luego corregir a $0,058, manteniendo un crecimiento diario de aproximadamente el 3%. La capitalización del proyecto es de unos 20 millones de dólares.
Para contexto: en su máximo histórico de octubre de 2021, SCRT valía $10,64, un 99,5% por encima de las cotizaciones actuales. Este incidente recuerda los riesgos asociados con contratos obsoletos: a principios de junio, hackers atacaron la red L2 Aztec en dos ocasiones, causando daños de 2,19 millones y 2,15 millones de dólares.
Opinión de experto: Este ataque es un ejemplo clásico de cómo incluso un pequeño error en la lógica de verificación de canales puede tener consecuencias catastróficas. Sin embargo, el mercado muestra una sorprendente resiliencia: el aumento de SCRT en medio de las noticias sobre el robo sugiere que los inversores aún no pierden la fe en los fundamentos del proyecto. No obstante, para Axelar y Secret Network, esto es una llamada de atención seria: es necesario revisar los mecanismos de seguridad en las conexiones IBC para evitar que ataques similares se repitan en el futuro.