Взлом моста Axelar и Secret Network: хакер украл $4,67 млн через уязвимость «бесконечной эмиссии»

El 19 de junio, la infraestructura blockchain Axelar confirmó oficialmente el hackeo del puente entre cadenas que conecta su red con el protocolo Secret Network. Como resultado del ataque, el atacante sustrajo activos digitales por un valor aproximado de $4,67 millones, explotando una vulnerabilidad crítica conocida como «minteo infinito» (infinite mint).
El incidente pasó desapercibido durante siete días, lo que subraya la complejidad de monitorear transacciones entre redes. El desarrollador principal de Axelar, el equipo Common Prefix, realizó un análisis detallado y determinó que el error se encontraba en el contrato inteligente ICS-20 del lado de Secret Network, que opera dentro de la conexión IBC de Cosmos. El contrato se encargaba de crear versiones «envueltas» de activos (saToken), pero no verificaba desde qué canal provenía la transacción entrante. Esto permitió al atacante fabricar depósitos y emitir tokens sin respaldo real.
Dado que las operaciones en la red Cosmos no requieren permiso, el hacker lanzó su propia cadena con un solo validador y comenzó a enviar paquetes con denominaciones ficticias de activos. De esta manera, pudo emitir cantidades arbitrarias de activos envueltos de Axelar en Secret Network.
El Comité de Emergencia de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para detener nuevas transferencias no autorizadas. Actualmente, el equipo coordina acciones con exchanges y autoridades policiales para rastrear los fondos robados y facilitar su recuperación. Es importante destacar que el incidente solo afectó a las monedas saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network permanecieron intactos.
A pesar de un evento tan grave, el precio del token nativo de Secret Network (SCRT) mostró un crecimiento inesperado. En un momento, el activo subió casi un 6%, alcanzando la marca de $0,06. Tras una corrección, SCRT cotiza alrededor de $0,058, manteniendo un aumento diario de aproximadamente el 3%. La capitalización de mercado es de unos $20 millones. Para contexto: en su máximo histórico de octubre de 2021, SCRT valía $10,64, un 99,5% por encima de las cotizaciones actuales.

Opinión del experto: Este hackeo es un recordatorio más de que los puentes entre cadenas siguen siendo el elemento más vulnerable de la infraestructura DeFi. La vulnerabilidad de «minteo infinito» en los contratos ICS-20 es un ejemplo clásico de validación insuficiente de datos entrantes. La reacción paradójica del mercado con el aumento de SCRT tras la noticia del robo probablemente se deba a la eliminación temporal de la incertidumbre y la confianza en la capacidad del equipo para manejar las consecuencias. Sin embargo, los inversores deben recordar que restaurar la confianza después de incidentes como este es un proceso largo y complejo.