El hackeo del puente Axelar y Secret Network: una vulnerabilidad de "minteo infinito" provocó una pérdida de $4.67 millones
El 19 de junio, el proyecto blockchain Axelar confirmó oficialmente el hackeo de su puente que conecta con el protocolo Secret Network. Como resultado del ataque, el atacante retiró fondos por un valor aproximado de 4,67 millones de dólares, aprovechando una vulnerabilidad crítica conocida como "infinite mint bug". Es notable que el robo pasó desapercibido durante siete días, lo que demuestra la complejidad y sigilo del ataque.
Detalles técnicos del incidente
Según el análisis realizado por el equipo de desarrollo principal de Axelar, Common Prefix, la vulnerabilidad se encontró en el contrato inteligente ICS-20, que opera en el lado de Secret Network dentro de la conexión Cosmos IBC. En condiciones normales, este contrato crea versiones "envueltas" de activos (saToken), pero no verificaba desde qué canal específico provenía la transacción entrante. Esto permitió al atacante falsificar depósitos y emitir tokens sin ningún respaldo real.
El atacante actuó astutamente: sin solicitar permiso, lanzó su propia cadena con un solo validador en el ecosistema Cosmos. Desde esta cadena, envió paquetes IBC con denominaciones falsas de activos, lo que le permitió minar tokens sin respaldo en el lado de Secret Network.
Reacción y magnitud del daño
Tras el descubrimiento del incidente, el Comité de Emergencia de Axelar desconectó inmediatamente las conexiones Secret y Secret-SNIP para detener transferencias no autorizadas adicionales. Actualmente, el equipo coordina acciones con intercambios y autoridades policiales para rastrear los fondos robados y facilitar su recuperación.
Es importante destacar que el ataque afectó solo a un grupo limitado de monedas: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network permanecieron intactos. Esto indica que la vulnerabilidad estaba localizada en un contrato específico, no en la infraestructura en general.
Reacción del mercado y contexto
A pesar de un evento tan grave, el mercado reaccionó de manera mixta. El precio del token Secret (SCRT) subió momentáneamente casi un 6%, alcanzando los $0,06. Tras una corrección, el activo cotiza alrededor de $0,058, manteniendo un aumento diario de aproximadamente el 3%. La capitalización de mercado es de unos $20 millones. En comparación, en su máximo histórico de octubre de 2021, SCRT valía $10,64, un 99,5% por encima de las cotizaciones actuales.
Este incidente recuerda que, incluso en ecosistemas maduros como Cosmos, los puentes entre cadenas siguen siendo uno de los puntos más vulnerables de la infraestructura. La vulnerabilidad de "infinite mint" es un ejemplo clásico de cómo una validación insuficiente de los datos entrantes puede tener consecuencias catastróficas.
Mi opinión experta: Este ataque es otra confirmación de que la seguridad de los contratos inteligentes en los puentes requiere una auditoría total y verificación formal. Aunque el equipo de Axelar actuó rápidamente, el hecho de que el robo pasara desapercibido durante siete días plantea preguntas sobre el monitoreo de las actividades en cadena. Los inversores deben tener en cuenta que incidentes como este, aunque no afecten a los protocolos principales, socavan la confianza en las soluciones entre cadenas y pueden ejercer una presión a largo plazo sobre los precios de los tokens.