El hackeo del puente Axelar y Secret Network: una vulnerabilidad de "minteo infinito" costó $4,67 millones

El 19 de junio, el proyecto de infraestructura blockchain Axelar confirmó oficialmente el hackeo del puente cross-chain que conecta su red con el protocolo Secret Network. Como resultado del ataque, el atacante extrajo aproximadamente $4.67 millones, explotando una vulnerabilidad crítica conocida como "minteo infinito" (infinite mint).
Detalles del ataque y trasfondo técnico
El incidente pasó desapercibido durante siete días, lo que indica la complejidad y sigilo del vector de ataque. Un análisis realizado por el equipo de Common Prefix, el desarrollador principal de Axelar, mostró que el error estaba incrustado en el contrato inteligente ICS-20, implementado en el lado de Secret Network como parte de la conexión IBC con el ecosistema Cosmos. El problema radicaba en que el contrato, que crea versiones "envueltas" de activos (saToken), no verificaba el canal de origen de las transacciones entrantes. Esto permitió al atacante falsificar depósitos y emitir tokens no respaldados por activos reales.
Para ejecutar el ataque, el atacante creó su propia cadena en Cosmos con un solo validador. A través de ella, enviaba paquetes con denominaciones ficticias de activos que el contrato en Secret Network aceptaba como legítimos, emitiendo saTokens no respaldados. De esta manera, el atacante pudo mintear una cantidad arbitraria de versiones envueltas de activos de Axelar.
Reacción y consecuencias
El comité de emergencia de Axelar desconectó rápidamente las conexiones con Secret Network, incluido Secret-SNIP, para evitar transferencias no autorizadas adicionales. Actualmente, el equipo coordina esfuerzos con exchanges y autoridades policiales para rastrear los fondos robados y su posible recuperación.
Es importante destacar que el incidente afectó solo a tokens específicos: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network permanecieron intactos. Esto indica que la vulnerabilidad estaba aislada y no afectó la infraestructura fundamental.
Mercado y precio de SCRT
A pesar de un incidente tan grave, el precio del token nativo de Secret Network (SCRT) mostró una reacción paradójica. En el momento, SCRT subió casi un 6%, alcanzando los $0.06. Tras una corrección, el activo se negocia alrededor de $0.058, manteniendo un aumento diario de aproximadamente el 3%. La capitalización de mercado es de aproximadamente $20 millones. Para contexto: en su máximo histórico en octubre de 2021, SCRT valía $10.64, un 99.5% por encima de los niveles actuales.
Mi comentario experto: Incidentes como este son un recordatorio más de que, incluso en ecosistemas maduros como Cosmos IBC, los problemas de seguridad de los contratos inteligentes siguen siendo críticos. La vulnerabilidad de "minteo infinito" es un clásico del género, pero su explotación exitosa durante una semana indica lagunas en el monitoreo y la respuesta. El mercado, por su parte, suele ser irracional: el aumento a corto plazo de SCRT podría deberse a compras especulativas ante las noticias de la corrección de la vulnerabilidad, no a una evaluación fundamental de los riesgos. Los inversores deben tener precaución con los activos que dependen de puentes cross-chain hasta que la industria desarrolle estándares unificados de auditoría y respuesta de emergencia.