El puente Axelar y la red Secret fueron hackeados: una vulnerabilidad de "emisión infinita" provocó el robo de $4.67 millones

El 19 de junio de 2026, el proyecto blockchain Axelar confirmó oficialmente un incidente relacionado con el hackeo del puente entre cadenas que lo conecta con el protocolo Secret Network. El atacante logró retirar aproximadamente $4,67 millones explotando una vulnerabilidad crítica conocida como "minteo infinito" (infinite mint).
Un análisis realizado por el equipo de desarrolladores de Common Prefix reveló que el error estaba presente en un contrato inteligente modificado CW20-ICS20 del lado de Secret Network, que opera dentro de la conexión IBC con el ecosistema Cosmos. El problema radicaba en que el algoritmo encargado de crear versiones "envueltas" de activos (saToken) no verificaba el origen de las transacciones entrantes. Esto permitió al atacante falsificar depósitos y emitir tokens sin ningún respaldo real.
Para ejecutar el ataque, el atacante lanzó su propia cadena en Cosmos con un solo validador. Desde esta cadena, enviaba paquetes con denominaciones falsas de activos que el contrato en Secret Network aceptaba como legítimos. El robo pasó desapercibido durante siete días, lo que subraya graves deficiencias en la supervisión de seguridad.
Reacción y consecuencias
El comité de emergencia de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para evitar transferencias no autorizadas adicionales. Actualmente, el equipo coordina acciones con intercambios y autoridades policiales para rastrear los fondos robados y su posible recuperación.
Es importante destacar que el incidente afectó exclusivamente a las monedas saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network permanecieron intactos.
Reacción del mercado
A pesar de la gravedad del hackeo, el mercado reaccionó de manera inesperada. El precio del token Secret (SCRT) saltó casi un 6% en el momento, alcanzando los $0,06. Tras una corrección, el activo cotiza alrededor de $0,058, manteniendo un aumento diario de aproximadamente el 3%. La capitalización de mercado es de unos $20 millones.
Para contexto: en su máximo histórico de octubre de 2021, SCRT valía $10,64, lo que supera en un 99,5% las cotizaciones actuales. Esto muestra cuán lejos está el proyecto de sus valores pico.
Mi análisis
Este incidente es un recordatorio más de que la complejidad de los puentes entre cadenas los hace vulnerables a ataques, especialmente cuando se trata de contratos modificados. La vulnerabilidad de "emisión infinita" es un problema clásico que podría haberse detectado durante la auditoría. El mercado, al parecer, ya había descontado expectativas tan bajas en el precio de SCRT que ni siquiera esta noticia causó pánico. Sin embargo, para la reputación a largo plazo del proyecto, esto es un golpe grave que podría retrasar la recuperación de la confianza de los inversores.