El puente Axelar y Secret Network ha sido hackeado: un atacante extrajo $4,67 millones a través de una vulnerabilidad de "minteo infinito".
El 19 de junio, el equipo del proyecto blockchain Axelar confirmó oficialmente el pirateo del puente entre cadenas que conecta su red con el protocolo Secret Network. El incidente provocó una pérdida de aproximadamente 4,67 millones de dólares, que fueron retirados por un atacante aprovechando una vulnerabilidad crítica conocida como «acuñación infinita».
El análisis realizado por el equipo de desarrolladores mostró que la vulnerabilidad estaba presente en el contrato inteligente ICS-20 del lado de Secret Network, que opera dentro de la conexión IBC de Cosmos. El problema radicaba en que el algoritmo de creación de versiones «envueltas» de activos (saToken) no verificaba desde qué canal específico llegaba la transacción entrante. Esto permitió al atacante falsificar depósitos y emitir tokens sin ningún respaldo real.
El proceso de explotación fue técnicamente sofisticado, pero sencillo de implementar: el atacante lanzó su propia cadena Cosmos con un solo validador, a través de la cual enviaba paquetes con denominaciones falsas. Es notable que el robo pasara desapercibido durante siete días. El comité de emergencia de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para evitar retiros no autorizados adicionales. Actualmente, el equipo está coordinando acciones con intercambios y autoridades policiales para rastrear y posiblemente recuperar los activos robados.
El incidente afectó exclusivamente a los tokens saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network no se vieron afectados.
La reacción del mercado fue inesperadamente positiva para el token nativo de Secret Network (SCRT). A pesar de la noticia del pirateo, el precio de SCRT se disparó casi un 6%, alcanzando los 0,06 dólares. Tras una pequeña corrección, el activo se cotiza en torno a los 0,058 dólares, manteniendo un aumento diario de aproximadamente el 3%. La capitalización del proyecto ronda los 20 millones de dólares.
Para contexto: en su máximo histórico de octubre de 2021, SCRT valía 10,64 dólares, un 99,5% más que las cotizaciones actuales. Este pirateo, aunque significativo en términos de cantidad, aparentemente fue percibido por el mercado como un problema local de un puente específico, no como un golpe fundamental para el proyecto Secret Network.
Comentario de expertos: Ataques similares a puentes que utilizan vulnerabilidades de «acuñación infinita» ya se han convertido en un ejemplo clásico de los riesgos asociados con las interacciones entre cadenas. La falta de verificación del canal de transacciones entrantes es un error grave pero común en contratos que intentan simplificar el proceso de envoltura de activos. Los inversores deberían prestar más atención a los proyectos donde los mecanismos de verificación no son multicapa y no incluyen auditorías de expertos independientes. El aumento actual de SCRT podría ser un bombeo a corto plazo impulsado por las noticias, y los riesgos fundamentales para la liquidez de los pools siguen siendo altos.