Crypto news

22.06.2026
04:07

Взлом моста Axelar и Secret Network: уязвимость «бесконечного минта» обошлась в $4,67 млн

хакеры hackers, перемещение средств 2

El 19 de junio, el equipo de Axelar confirmó oficialmente la explotación de una vulnerabilidad crítica en el puente entre cadenas que conecta su protocolo con Secret Network. El atacante aprovechó un error de "minteo infinito" (infinite mint), lo que le permitió retirar activos digitales por un valor aproximado de $4,67 millones. Cabe destacar que el robo pasó desapercibido durante siete días, lo que indica una monitorización insuficiente de la actividad en cadena por parte de los operadores del puente.

Detalles técnicos del ataque

Según el análisis realizado por el desarrollador principal de Axelar, Common Prefix, la vulnerabilidad estaba presente en el contrato inteligente ICS-20 del lado de Secret Network dentro de la conexión IBC de Cosmos. El contrato se encargaba de crear versiones "envueltas" de activos (saToken), pero no verificaba desde qué canal específico provenía la transacción entrante. Esto permitió al atacante falsificar depósitos y emitir tokens sin ningún respaldo real.

Dado que las operaciones no requerían permiso, el hacker desplegó su propia cadena en el ecosistema de Cosmos con un solo validador, desde donde enviaba paquetes con denominaciones falsas de activos. Así, creó la ilusión de transferencias legítimas, aunque en realidad simplemente "imprimía" tokens de la nada.

Reacción y magnitud del incidente

El comité de emergencias de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para detener nuevas transferencias no autorizadas. El equipo está coordinando acciones con intercambios y autoridades policiales para rastrear los fondos y facilitar su recuperación. Según el comunicado oficial, el incidente afectó exclusivamente a las monedas saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network permanecieron intactos.

El mercado no entra en pánico

A pesar de la gravedad del incidente, el mercado reaccionó de manera sorprendentemente tranquila. El precio del token Secret (SCRT) subió momentáneamente casi un 6%, alcanzando los $0,06. Tras una corrección, el activo cotiza alrededor de $0,058, manteniendo un crecimiento diario de aproximadamente el 3%. La capitalización de mercado es de ~$20 millones. Sin embargo, cabe señalar que en su máximo histórico de octubre de 2021, SCRT valía $10,64, lo que supera en un 99,5% las cotizaciones actuales. Esto indica que el mercado ya había descontado los riesgos en el precio del activo, y la noticia del hackeo no fue una sorpresa.

image
Fuente: CoinMarketCap.

Opinión de expertos

Este incidente vuelve a resaltar la vulnerabilidad sistémica de los puentes entre cadenas construidos sobre contratos modificados sin una auditoría de seguridad adecuada. El error de "minteo infinito" es un fallo clásico que debería haberse detectado en la fase de pruebas. Para los inversores, es otra señal de que los activos bloqueados en puentes conllevan un riesgo elevado, y la diversificación entre diferentes protocolos no es solo una estrategia, sino una necesidad.