El ataque al puente Axelar y Secret Network: una vulnerabilidad de emisión infinita provocó una pérdida de 4,67 millones de dólares
El 19 de junio de 2026, registré un incidente grave en la infraestructura del protocolo de cadena cruzada Axelar. Un atacante explotó con éxito una vulnerabilidad en el puente que conecta Axelar con Secret Network y retiró fondos por un valor aproximado de 4,67 millones de dólares. El error crítico, conocido como "minteo infinito", pasó desapercibido durante siete días.
Como mostró mi análisis, el problema residía en el contrato inteligente modificado CW20-ICS20 en el lado de Secret Network, utilizado en el marco de la conexión IBC de Cosmos. El contrato se encargaba de crear activos "envueltos" (saToken), pero no verificaba el canal de entrada de las transacciones entrantes. Esto permitió al atacante fabricar depósitos y emitir tokens sin ningún respaldo real.
El atacante actuó de manera ingeniosa: lanzó su propia cadena en el ecosistema Cosmos con un solo validador y luego envió desde ella paquetes con denominaciones ficticias de activos. Dado que las operaciones no requerían permiso, la vulnerabilidad se explotó en su totalidad.
El comité de emergencia de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para evitar más transferencias no autorizadas. Actualmente, el equipo coordina acciones con intercambios y autoridades policiales para rastrear y recuperar los fondos.
Es importante destacar: el incidente solo afectó a las monedas saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network permanecieron intactos.
El mercado reaccionó a la noticia de manera paradójica: el precio del token Secret (SCRT) subió casi un 6% hasta los 0,06 dólares. Tras una corrección, el activo cotiza alrededor de 0,058 dólares, manteniendo un aumento diario de aproximadamente el 3%. La capitalización de mercado es de unos 20 millones de dólares. Para contexto: en su máximo histórico de octubre de 2021, SCRT valía 10,64 dólares; los niveles actuales están un 99,5% por debajo.
Mi opinión experta: este incidente es un recordatorio más de que la complejidad de la infraestructura de cadena cruzada a menudo se convierte en su talón de Aquiles. Las vulnerabilidades de tipo "minteo infinito" son especialmente peligrosas, ya que permiten crear activos de la nada. Los inversores deberían prestar atención a cómo los equipos de los proyectos prueban sus contratos inteligentes en condiciones límite, especialmente en soluciones de puente, donde el riesgo de centralización y errores de código es máximo. Hasta que el mercado exija auditorías más rigurosas y estándares de seguridad, este tipo de ataques se repetirán.