El hackeo del puente Axelar y Secret Network: la vulnerabilidad de "minteo infinito" costó 4,67 millones de dólares

El 19 de junio de 2026, el equipo del proyecto blockchain Axelar confirmó oficialmente la explotación de una vulnerabilidad crítica en el puente entre cadenas que conecta Axelar con el protocolo Secret Network. Como resultado del ataque, un actor malicioso extrajo aproximadamente $4.67 millones, aprovechando un error conocido como "minteo infinito" (infinite-mint).
Cómo se llevó a cabo el ataque
Según un análisis detallado realizado por el desarrollador principal de Axelar, el equipo de Common Prefix, la vulnerabilidad se encontró en el contrato inteligente ICS-20 del lado de Secret Network, que opera dentro de la conexión IBC del ecosistema Cosmos. El contrato era responsable de crear versiones "envueltas" de activos (saToken), pero el error crítico radicaba en la falta de verificación del canal del que provenía la transacción entrante. Esto permitió al atacante falsificar depósitos y emitir tokens sin respaldo real.
Dado que las operaciones en la red Cosmos no requerían permiso, el atacante lanzó su propia cadena con un solo validador. Desde esta cadena, envió paquetes IBC con denominaciones falsas de activos, lo que provocó la emisión no autorizada de tokens.
Alcance y consecuencias
El robo pasó desapercibido durante siete días. Tras la detección del incidente, el Comité de Emergencias de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para evitar transferencias no autorizadas adicionales. Actualmente, el equipo coordina acciones con intercambios y autoridades policiales para rastrear los fondos robados y facilitar su recuperación.
Es importante destacar que el incidente solo afectó a monedas específicas: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network no se vieron afectados.
Reacción del mercado
A pesar del informe sobre el robo, el mercado reaccionó de manera inesperada. El precio del token Secret (SCRT) subió casi un 6% en el momento, alcanzando los $0.06. Tras una ligera corrección, el activo se negocia alrededor de $0.058, manteniendo un crecimiento diario de aproximadamente el 3%. La capitalización de mercado actual es de unos $20 millones. Cabe señalar que, desde su máximo histórico en octubre de 2021 ($10.64), SCRT ha caído un 99.5%.
Opinión del experto
Este incidente es un recordatorio más de que incluso los puentes y protocolos probados por el tiempo siguen siendo vulnerables a ataques a nivel de contratos inteligentes. La falta de validación del canal de transacciones entrantes es un error clásico que, en teoría, debería haberse detectado durante la fase de auditoría. El mercado, por su parte, muestra una reacción paradójica: el aumento a corto plazo de SCRT en medio del robo indica que los inversores perciben el aislamiento de la vulnerabilidad como una señal positiva, aunque fundamentalmente la seguridad del ecosistema sigue siendo cuestionable.