El ataque al puente Axelar y Secret Network: una vulnerabilidad de "acuñación infinita" provocó una pérdida de $4.67 millones

El 19 de junio, el equipo de Axelar confirmó oficialmente el hackeo del puente entre cadenas que conecta el ecosistema de Axelar con el protocolo Secret Network. El atacante logró retirar fondos por un valor aproximado de $4,67 millones, aprovechando una vulnerabilidad crítica conocida como «minteo infinito». Es notable que el ataque pasó desapercibido durante siete días, lo que indica una infraestructura de monitoreo insuficiente por parte de Secret Network.
Según determinó el desarrollador principal de Axelar, la empresa Common Prefix, el error estaba incorporado en el contrato inteligente ICS-20, modificado para funcionar con los tokens de Secret Network. Este contrato, implementado en la conexión Cosmos IBC, era responsable de crear versiones «envueltas» de activos (saToken). El error clave consistía en la falta de verificación del canal del que provenía la transacción entrante. Esto permitió al atacante falsificar depósitos y emitir tokens sin ningún respaldo real.
Para llevar a cabo el ataque, el atacante lanzó su propia cadena en el ecosistema de Cosmos con un único validador. Desde esta cadena, enviaba paquetes con denominaciones ficticias de activos, que el contrato ICS-20 aceptaba como legítimos. De esta manera, el hacker pudo acuñar una cantidad ilimitada de tokens sin aportar fondos reales.
El comité de emergencia de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para detener transferencias no autorizadas adicionales. El equipo del proyecto ya está coordinando acciones con intercambios y autoridades para rastrear los fondos robados y su posible recuperación. Es importante destacar que el incidente afectó exclusivamente a los tokens saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network no se vieron afectados.
A pesar de la noticia del robo, el mercado reaccionó de manera mixta. El precio del token Secret (SCRT) saltó casi un 6% en el momento, alcanzando los $0,06. Tras una corrección, el activo cotiza alrededor de $0,058, manteniendo un aumento diario de aproximadamente el 3%. La capitalización del proyecto es de unos $20 millones. Para contexto: en su máximo histórico de octubre de 2021, SCRT valía $10,64, un 99,5% por encima de las cotizaciones actuales. Esta caída demuestra cuánto ha descontado ya el mercado los riesgos asociados al proyecto.
Opinión del experto. Este incidente es un recordatorio más de que los puentes entre cadenas siguen siendo uno de los puntos más vulnerables en la infraestructura DeFi. El error en la verificación del canal es un fallo básico pero devastador que podría haberse detectado en la fase de auditoría. Sin embargo, el mercado mostró una sorprendente resiliencia: el aumento de SCRT tras la noticia sugiere que los inversores quizás perciben este ataque como un problema aislado, no como un fallo sistémico. No obstante, la confianza en este tipo de puentes tardará en recuperarse, especialmente considerando que la vulnerabilidad pasó desapercibida durante una semana entera.