Secret Network Bridge pierde $4.7M por falla de 'Mint Infinito'

Un atacante explotó una vulnerabilidad de "acuñación infinita" en un Smart Contract en Secret Network, creando activos Axelar envueltos sin el respaldo adecuado. El incidente resultó en una pérdida reportada de $4,67 millones, según la firma de investigación de Blockchain Common Prefix.

La brecha ocurrió el 10 de junio, pero fue identificada una semana después, el 17 de junio, tras una transacción Cross-chain fallida que desencadenó un error de "fondos insuficientes" vinculado a la cuenta drenada, indicó Common Prefix en un informe publicado el viernes. Los fondos fueron posteriormente enviados a Blockchain Ethereum y distribuidos entre múltiples billeteras antes de ser trasladados a exchanges, añadió la firma.

Puntos clave

• Common Prefix atribuye el exploit de $4,67 millones a una falla de acuñación infinita en un contrato de Secret Network que acuñó tokens envueltos de Axelar sin respaldo.
• El problema se rastreó hasta la falta de verificación de la cuenta de origen de las transferencias entrantes antes de la acuñación, lo que permitió depósitos no acreditados falsificados en un canal controlado por el atacante.
• Los activos envueltos afectados incluyeron saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH.
• Secret Network indicó que los titulares de tokens saXXX con puente de Axelar podrían enfrentar pérdidas, mientras que tanto Secret como Axelar enfatizaron que el token SCRT de Secret y la infraestructura de Axelar no fueron comprometidos directamente.

Cómo funcionó el exploit en el puente entre cadenas Axelar de Secret

Secret Network es una Blockchain de capa 1 centrada en la privacidad, construida sobre el ecosistema Cosmos. Axelar, por su parte, está diseñado para habilitar la Interoperabilidad de Blockchain entre diferentes redes. El exploit tuvo como objetivo un Smart Contract que gestiona activos envueltos de Axelar en Secret, donde se espera que los "saTokens" envueltos representen colateral mantenido en custodia.

Common Prefix informó que el contrato no logró verificar la procedencia de las transferencias entrantes antes de la acuñación. Como resultado, el atacante pudo "falsificar" depósitos a través de un canal bajo su control, lo que desencadenó la acuñación de "saTokens genuinos sin activos que los respaldaran", según indicó la firma.

Después de la acuñación, el atacante redimió los activos envueltos de Axelar a través de canales legítimos. Common Prefix señaló que la redención drenó los activos reales envueltos de Axelar mantenidos en custodia, convirtiendo las representaciones sin respaldo en valor respaldado.

Cronología y descubrimiento: del 10 de junio al 17 de junio

Si bien el exploit tuvo lugar el 10 de junio, el indicador clave del problema apareció más tarde. Common Prefix indicó que la brecha fue descubierta el 17 de junio tras el fallo de una transacción Cross-chain debido a un error de "fondos insuficientes" relacionado con la cuenta que había sido drenada.

Este retraso es relevante para los usuarios porque pone de relieve cómo los sistemas relacionados con puentes o custodia pueden continuar operando con normalidad —o al menos no señalar fallos evidentes de inmediato— hasta que acciones posteriores específicas evidencien el déficit. En la práctica, esto puede significar que la ventana entre la acuñación y la detección puede ser suficientemente amplia para que los activos sean redistribuidos antes de que los investigadores puedan conectar todos los puntos.

A dónde fueron los fondos robados

Common Prefix informó que, tras explotar los tokens envueltos, el atacante trasladó los activos a Blockchain Ethereum y los convirtió en Ether (ETH). La firma también indicó que el atacante distribuyó las ganancias entre aproximadamente 30 billeteras.

Esas billeteras fueron luego utilizadas para mover los fondos hacia exchanges, incluyendo KuCoin, ChangeNow y HitBTC, según el informe. El enfoque de múltiples billeteras es una táctica común en actividades de lavado de dinero, orientada a complicar el rastreo mediante la fragmentación de los flujos de transacciones y los patrones de distribución.

Qué tokens fueron afectados y qué dijo Secret a los usuarios

Los activos envueltos de Axelar afectados, acuñados sin respaldo, incluyeron saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. Common Prefix enfatizó que el respaldo de estos tokens fue comprometido, lo que significa que los titulares de los tokens podrían no poder canjearlos por su colateral previsto.

El sábado, Secret Network emitió un aviso de seguridad indicando que los titulares de tokens saXXX con puente de Axelar en Secret deben esperar que su respaldo se vea afectado y que sus fondos "podrían perderse".

El token nativo propio de Secret, Secret (SCRT), no fue reportado como afectado por el incidente. Sin embargo, el aviso subraya que esto no fue un compromiso general de la red en sí, sino una debilidad específica en la ruta de acuñación de determinados activos con puente.

La respuesta de Axelar: no comprometido, el firewall contuvo el impacto

Axelar reconoció el incidente el sábado después de que surgiera "cierta confusión" en torno a la brecha. En su declaración, Axelar indicó que ni Axelar ni IBC (Inter-Blockchain Communication) fueron comprometidos.

Axelar agregó que el Smart Contract del token explotado "no fue desarrollado, desplegado ni mantenido por Axelar", y que el firewall de Axelar impidió que el impacto se propagara a otras cadenas.

Para inversores y desarrolladores, la distinción es significativa: reduce la probable fuente del fallo a la lógica del contrato en el lado de Secret, en lugar de la infraestructura central de Interoperabilidad de Blockchain de Axelar. Aun así, los sistemas Cross-chain permanecen estrechamente acoplados a través de supuestos sobre custodia, integridad de mensajes y verificación de acuñación —exactamente donde este exploit parece haber quebrantado esos supuestos.

Parte de una ola más amplia de ataques a protocolos

Esta brecha llega en medio de un patrón más amplio de explotación Cross-chain y de protocolos. Common Prefix señaló que forma parte de una serie de hackeos y exploits ocurridos este mes, con al menos 22 incidentes reportados por el seguimiento continuo de hackeos de DeFiLlama.

Dentro de ese mismo período reciente, otras pérdidas reportadas relacionadas con puentes incluyeron Humanity Protocol y Syscoin Bridge, que a principios de este mes sufrieron pérdidas reportadas de $32 millones y $8 millones respectivamente, según la cobertura referenciada en el contexto de Common Prefix.

Si bien cada evento tiene su propia causa raíz, el tema recurrente es similar: muchos de los fallos de mayor valor ocurren donde la lógica de los puentes se encuentra con la contabilidad de activos —especialmente cuando los sistemas acuñan representaciones basadas en mensajes o depósitos que no están fuertemente autenticados de extremo a extremo.

De cara al futuro, los usuarios que posean saTokens afectados deben estar atentos a nuevos anuncios de Secret y a cualquier orientación sobre si los saldos restantes pueden canjearse y cómo hacerlo. La pregunta abierta clave es con qué rapidez y completitud puede auditarse y parchearse la ruta de acuñación afectada —porque en los ecosistemas Cross-chain, incluso pequeñas brechas de verificación pueden traducirse en drenajes de valor respaldado real una vez que un atacante encuentra una ruta de redención.

Este artículo fue publicado originalmente como Secret Network Bridge Loses $4.7M to 'Infinite Mint' Flaw en Crypto Breaking News – su fuente de confianza para noticias de criptomonedas, noticias de Bitcoin y actualizaciones de Blockchain.