El hackeo del puente Axelar y Secret Network: una vulnerabilidad de "acuñación infinita" provocó una pérdida de $4,67 millones

El 19 de junio, el protocolo blockchain Axelar confirmó oficialmente el hackeo del puente cross-chain que lo conecta con la red Secret Network. El atacante aprovechó una vulnerabilidad crítica conocida como "minteo infinito" (infinite mint) y sustrajo aproximadamente $4.67 millones. El robo pasó desapercibido durante siete días, lo que supone una señal grave sobre las deficiencias en la monitorización de transacciones entre redes.
Según el análisis realizado por el equipo de desarrolladores de Common Prefix, el fallo se detectó en el smart contract ICS-20 del lado de Secret Network, que opera en el ecosistema Cosmos a través de una conexión IBC. El problema radicaba en que el algoritmo que crea versiones "envueltas" de activos (saToken) no verificaba desde qué canal específico provenía la transacción entrante. Esto permitió al atacante falsificar depósitos y emitir tokens sin respaldo real.
Para ejecutar el ataque, el delincuente lanzó en Cosmos su propia cadena con un solo validador, desde donde enviaba paquetes con denominaciones falsas de activos. Dado que las operaciones no requerían autorización, el puente simplemente aceptaba estos datos fraudulentos, creando saTokens sin respaldo.
El comité de emergencia de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP para detener nuevas transferencias no autorizadas. El equipo coordina acciones con exchanges y autoridades policiales para rastrear los fondos robados. Es importante destacar que el incidente solo afectó a las monedas saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network permanecieron intactos.
A pesar de un evento tan grave, el mercado reaccionó de forma paradójica. El precio del token Secret (SCRT) subió casi un 6% en el momento, alcanzando los $0.06. Tras una corrección, el activo cotiza alrededor de $0.058, manteniendo un crecimiento diario de aproximadamente el 3%. La capitalización de mercado ronda los $20 millones. Cabe recordar que en su máximo histórico de octubre de 2021, SCRT valía $10.64; las cotizaciones actuales son un 99.5% inferiores. Este es un ejemplo clásico de cómo los sentimientos especulativos a corto plazo pueden ignorar los riesgos fundamentales.
En el contexto de este incidente, vale la pena recordar que en junio los hackers atacaron en dos ocasiones contratos obsoletos en la red L2 Aztec, robando $2.19 millones y $2.15 millones respectivamente. El mercado está entrando claramente en una fase donde las vulnerabilidades de los puentes entre redes se convierten en el objetivo principal, lo que exige que todos los proyectos revisen su arquitectura de seguridad.
Opinión de expertos: El hackeo de Axelar no es una casualidad, sino una consecuencia lógica. La vulnerabilidad de "minteo infinito" es un problema clásico en los puentes, donde la confianza en el canal de transmisión de datos no se verifica a nivel de contrato. Mientras los equipos no implementen una verificación obligatoria del origen de las transacciones y mecanismos de auditoría multinivel, incidentes como este se repetirán. Los inversores deberían prestar más atención a los tokens vinculados a puentes, ya que su liquidez podría resultar ilusoria.