El hackeo del puente Axelar y Secret Network: una vulnerabilidad de "minteo infinito" costó 4,67 millones de dólares

El 19 de junio, como analista de Cryptalist, registré un incidente grave en la infraestructura cross-chain. El proyecto Axelar confirmó oficialmente el hackeo del puente que conecta su red con el protocolo Secret Network. El atacante extrajo aproximadamente $4,67 millones aprovechando una vulnerabilidad crítica conocida como "bug de minteo infinito" (infinite mint bug).
El robo pasó desapercibido durante siete días, lo que es una señal alarmante sobre la falta de eficiencia en los sistemas de monitoreo.
Cómo se llevó a cabo el ataque
Según mi análisis, el error se encontró en el contrato inteligente ICS-20 del lado de Secret Network, que opera dentro de la conexión IBC de Cosmos. El contrato creaba versiones "envueltas" de activos (saToken), pero no verificaba desde qué canal provenía la transacción entrante. Esto permitió al atacante falsificar depósitos y emitir tokens sin ningún respaldo real.
Dado que las operaciones no requerían permiso, el atacante lanzó su propia cadena en Cosmos con un solo validador. Desde esta red ficticia, enviaba paquetes con denominaciones falsas de activos, engañando al puente y generando tokens sin respaldo.
Reacción y consecuencias
El comité de emergencia de Axelar desconectó inmediatamente las conexiones Secret y Secret-SNIP para detener nuevas transferencias no autorizadas. El equipo coordina acciones con exchanges y autoridades policiales para rastrear los fondos y su posible recuperación.
Es importante destacar: el incidente se limita a las monedas saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network no se vieron afectados. Esto indica que la vulnerabilidad fue puntual, no un fallo sistémico.
Reacción del mercado
A pesar de la noticia del robo, el precio del token Secret (SCRT) subió casi un 6% en el momento, alcanzando los $0,06. Tras una corrección, el activo cotiza alrededor de $0,058, manteniendo un crecimiento diario de aproximadamente el 3%. La capitalización de mercado es de unos $20 millones.
Sin embargo, cabe señalar que en su máximo histórico de octubre de 2021, SCRT valía $10,64, un 99,5% más que las cotizaciones actuales. Este aumento tras el hackeo es más una especulación a corto plazo que una recuperación fundamental.
Recordemos que en junio, los hackers atacaron dos veces en pocos días contratos obsoletos en la red L2 Aztec, causando daños de $2,19 millones y $2,15 millones respectivamente. Esto confirma una tendencia: los atacantes buscan activamente vulnerabilidades en puentes cross-chain y contratos desactualizados.
Mi opinión experta: Este incidente es un recordatorio más de que la seguridad de la infraestructura cross-chain sigue siendo un eslabón débil en el ecosistema DeFi. Los proyectos deben implementar sistemas de verificación de transacciones de múltiples niveles y realizar auditorías periódicas centradas en la lógica de las funciones de minteo. Ignorar estos riesgos podría llevar a pérdidas aún mayores en el futuro.