El hackeo del puente Axelar y Secret Network: la vulnerabilidad de "minteo infinito" costó $4,67 millones

El 19 de junio, el proyecto blockchain Axelar confirmó oficialmente el hackeo del puente entre cadenas que conecta su red con el protocolo Secret Network. El ataque, basado en la explotación de una vulnerabilidad de "minteo infinito", permitió al atacante retirar activos por un valor de aproximadamente $4,67 millones. El incidente pasó desapercibido durante siete días, lo que subraya la complejidad del monitoreo de operaciones entre redes en el ecosistema Cosmos.
Detalles técnicos del ataque
Según el análisis realizado por el desarrollador principal de Axelar, Common Prefix, la vulnerabilidad fue detectada en el contrato inteligente ICS-20 del lado de Secret Network. Este contrato se encarga de crear versiones "envueltas" de activos (saToken) en la conexión IBC de Cosmos. Sin embargo, el error clave radicaba en la falta de verificación del canal del que provenía la transacción entrante. Esto permitió al atacante falsificar depósitos y emitir tokens sin respaldo real.
El atacante lanzó su propia cadena Cosmos con un solo validador, desde donde enviaba paquetes con denominaciones falsas de activos. Dado que las operaciones no requerían permiso, pudo mintear tokens de forma infinita hasta que se descubrió la vulnerabilidad.
Reacción y magnitud del daño
El comité de emergencia de Axelar desconectó inmediatamente las conexiones Secret y Secret-SNIP para evitar más transferencias no autorizadas. El equipo coordina acciones con exchanges y autoridades policiales para rastrear los fondos y su posible recuperación. Es importante señalar que el incidente afectó solo a ciertas monedas: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network permanecieron intactos.
Mercado y consecuencias
A pesar del informe del robo, el precio del token Secret (SCRT) mostró un aumento inesperado de casi el 6%, alcanzando los $0,06. Tras una corrección, el activo se negocia en torno a los $0,058, manteniendo un aumento diario de aproximadamente el 3%. La capitalización de mercado es de unos $20 millones. Cabe destacar que en su máximo histórico de octubre de 2021, SCRT valía $10,64, un 99,5% más que las cotizaciones actuales. Este aumento paradójico podría estar relacionado con la especulación a corto plazo ante las noticias, pero a largo plazo, la confianza en el protocolo podría verse afectada.
Este incidente recuerda los riesgos asociados con contratos obsoletos en redes L2. Por ejemplo, en junio, hackers atacaron Aztec en dos ocasiones, causando daños por $2,19 millones y $2,15 millones. Las vulnerabilidades de "minteo infinito" son cada vez más comunes en el ecosistema Cosmos, lo que exige a los equipos una auditoría más exhaustiva y la implementación de mecanismos de verificación de canales.
Opinión de experto: Este hackeo es otra señal de que los puentes entre cadenas siguen siendo el eslabón débil en la infraestructura DeFi. La falta de verificación de canales en las conexiones IBC es un error básico que podría haberse prevenido en la fase de diseño. Es probable que el mercado responda endureciendo los requisitos de auditoría y reforzando el monitoreo de transacciones entre redes, lo que a la larga beneficiará a todo el ecosistema.