Crypto news

22.06.2026
04:41

El hackeo del puente Axelar y Secret Network: la vulnerabilidad de "minteo infinito" costó 4,67 millones de dólares

El 19 de junio, el proyecto blockchain Axelar reveló un grave incidente de seguridad relacionado con un puente que conecta su red con el protocolo Secret Network. Un atacante explotó una vulnerabilidad crítica conocida como "minteo infinito" y extrajo aproximadamente 4,67 millones de dólares. Cabe destacar que el robo pasó desapercibido durante siete días, lo que evidencia la dificultad de rastrear anomalías en la infraestructura entre cadenas.

Un análisis realizado por el equipo de Common Prefix, desarrollador principal de Axelar, mostró que el error estaba en el contrato inteligente ICS-20 del lado de Secret Network, que opera dentro de la conexión IBC de Cosmos. El contrato se encargaba de crear versiones "envueltas" de activos (saToken), pero no verificaba de qué canal provenía la transacción entrante. Esto permitió al atacante falsificar depósitos y emitir tokens sin respaldo real.

Dado que las operaciones no requerían permiso, el hacker lanzó su propia cadena en Cosmos con un solo validador, desde la cual enviaba paquetes con denominaciones ficticias de activos. Como resultado, se vieron comprometidas las monedas saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El comité de emergencia de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para detener nuevas transferencias no autorizadas. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network no resultaron afectados.

Analizamos el incidente con Secret Network. El atacante utilizó un error de minteo infinito en un contrato de tokens CW20-ICS20 modificado en Secret para extraer ≈4,67 millones de dólares. El atacante acuñó activos envueltos arbitrarios de Axelar en Secret, lanzando una nueva cadena Cosmos con 1 validador y…

— Common Prefix (@CommonPrefix)

El equipo de Axelar está coordinando acciones con intercambios y autoridades policiales para rastrear los fondos y facilitar su recuperación.

A pesar de la noticia del robo, el precio del token Secret (SCRT) subió casi un 6% en el momento, alcanzando los 0,06 dólares. Tras una corrección, el activo se negocia en torno a los 0,058 dólares, manteniendo un aumento diario de aproximadamente el 3%. La capitalización de mercado es de unos 20 millones de dólares. En su máximo histórico de octubre de 2021, SCRT valía 10,64 dólares, un 99,5% más que las cotizaciones actuales.

Mi comentario: Este incidente es un ejemplo clásico de cómo incluso en ecosistemas maduros, como Cosmos IBC, pueden surgir vulnerabilidades fatales debido a una validación insuficiente de los datos entrantes. La vulnerabilidad de "minteo infinito" es una de las más peligrosas para los puentes entre cadenas, ya que permite crear activos de la nada. Espero que después de este caso, los equipos de proyectos refuercen la auditoría de contratos inteligentes, especialmente en la verificación de canales y depósitos. El mercado, por su parte, aún no entra en pánico: el aumento de SCRT sugiere que los inversores confían en la capacidad del equipo para manejar las consecuencias. Sin embargo, incidentes como este recuerdan que la seguridad en DeFi no es una tarea única, sino un proceso continuo.