$4.67 millones robados: Axelar revela un error crítico de "minteo infinito" en el puente con Secret Network

El 19 de junio, el equipo del protocolo cross-chain Axelar confirmó la explotación de una vulnerabilidad en el puente que conecta su infraestructura con la red Secret Network. El atacante logró retirar activos digitales por un valor aproximado de $4,67 millones, aprovechando el llamado error de "minteo infinito" (infinite mint). Cabe destacar que el incidente pasó desapercibido durante siete días completos.
Detalles técnicos del ataque
El análisis realizado por el desarrollador principal de Axelar, el equipo Common Prefix, identificó la raíz del problema en un contrato inteligente modificado CW20-ICS20 del lado de Secret Network. Este contrato era responsable de crear versiones "envueltas" de los activos de Axelar (tokens saToken) en el ecosistema Cosmos a través de la conexión IBC. El error fatal consistía en la ausencia de verificación del canal del que provenía la transacción entrante. El algoritmo confiaba ciegamente en cualquier paquete, permitiendo al atacante falsificar depósitos y emitir tokens no respaldados por fondos reales.
Para ejecutar el esquema, el hacker lanzó su propia cadena en la red Cosmos con un único validador. A través de este canal, enviaba paquetes con montos ficticios de activos, que el contrato en Secret aceptaba como depósitos legítimos. Esto permitía acuñar cantidades ilimitadas de saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH, que luego se transferían a otras redes.
Reacción y consecuencias
El comité de emergencia de Axelar desconectó rápidamente las conexiones Secret y Secret-SNIP, deteniendo el flujo de transacciones no autorizadas. Actualmente, el equipo coordina acciones con exchanges y autoridades para rastrear los fondos robados. Es importante destacar que el incidente afectó exclusivamente a los activos envueltos mencionados anteriormente. El protocolo principal de Axelar, otras conexiones IBC y los tokens nativos de Secret Network permanecieron intactos.
Curiosa reacción del mercado: a pesar del informe del robo, el precio del token nativo de Secret (SCRT) subió casi un 6% en el momento, alcanzando los $0,06. Tras una ligera corrección, el activo cotiza alrededor de $0,058, mostrando un aumento diario de aproximadamente el 3%. La capitalización del proyecto es de unos $20 millones. Para contexto: el máximo histórico de SCRT se registró en octubre de 2021 en $10,64, más de un 99% por encima de los valores actuales.
Mi comentario experto: Este incidente es un ejemplo clásico de vulnerabilidad en la lógica de comunicación cross-chain. El problema no está en el propio protocolo Axelar, sino en la implementación del contrato del lado de Secret Network. La falta de validación del canal entrante es un error grave, aunque desafortunadamente común, en entornos multicadena complejos. Este caso sirve como un duro recordatorio: la seguridad del puente está determinada por el eslabón más débil de la cadena de contratos. Los proyectos deben implementar verificaciones de múltiples niveles, especialmente al trabajar con paquetes IBC, donde la confianza en la fuente debe ser estrictamente verificada.