Un atacante drenó aproximadamente 4,67 millones de dólares de un puente de Secret (SCRT) vinculado a Axelar (AXL), explotando un contrato defectuoso que acuñaba tokens sin respaldo de la nada.
Puntos clave:
- Un contrato defectuoso de Secret Network permitió a un atacante acuñar tokens sin respaldo y drenar unos 4,67 millones de dólares.
- El robo permaneció oculto durante siete días hasta que una transferencia fallida dejó al descubierto el depósito en garantía vacío.
- Axelar deshabilitó las conexiones afectadas y afirmó que su protocolo central nunca fue tocado.
El puente de Secret Network pierde millones
El robo comenzó el 10 de junio, pero pasó desapercibido durante siete días, ya que Secret cifra los saldos por defecto y la garantía faltante nunca apareció en la cadena. Solo salió a la luz el 17 de junio, cuando una transferencia rutinaria entre cadenas falló porque la cuenta de depósito en garantía se había agotado. Los investigadores rastrearon entonces el déficit hasta siete retiros sospechosos realizados el día de inicio.
Axelar confirmó la pérdida el 19 de junio y deshabilitó las conexiones Secret y Secret-SNIP afectadas en cuestión de horas, subrayando que su protocolo central nunca fue tocado. El equipo afirmó que ha contactado con los exchanges y con las autoridades para rastrear los fondos, de los cuales unos 672.000 dólares siguen intactos en la cartera principal del atacante.
Un fallo de acuñación infinita engañó al contrato
El contrato vulnerable acuñaba copias envueltas en Secret de activos puenteados, pero nunca verificaba de qué canal procedía realmente un depósito, coincidiendo solo el nombre del token con una lista aprobada.
La firma de investigación Common Prefix publicó una autopsia que muestra cómo ese único vacío lo deshizo todo. Como la red oculta las transferencias por defecto, rastrear al atacante resultó mucho más difícil de lo que habría sido en un libro de contabilidad público totalmente transparente.
Para explotarlo, el atacante puso en marcha una cadena con un solo validador, abrió un canal no autorizado y retransmitió por sí mismo paquetes falsificados que llevaban nombres de tokens tomados directamente de la lista permitida.
El contrato los aceptó y acuñó tokens reales y canjeables sin absolutamente nada que los respaldara.
Al canjear esos tokens falsos a través del canal genuino, se vació el depósito en garantía correspondiente a siete activos envueltos. El fallo no era nuevo, y la firma informó de que la misma lógica había estado en el código desde 2023 y sobrevivió a una migración en marzo de 2026. Secret añadió que no se solicitó ninguna auditoría externa cuando se construyó inicialmente el puente.
Los puentes entre cadenas siguen expuestos
Los fondos robados pasaron por Osmosis, se cambiaron a Ether (ETH) en un exchange descentralizado y se dispersaron entre decenas de nuevas carteras antes de llegar finalmente a tres exchanges centralizados. La respuesta del mercado más amplio se mantuvo tenue, con el token de Axelar cayendo alrededor de un 2,2 % en el día y Secret manteniéndose casi plano.
Aun así, la pérdida prolonga un año brutal para la infraestructura entre cadenas. Los puentes construidos con diseños similares de bloqueo y acuñación siguen siendo la superficie más explotada en cripto, con fallos comparables que han costado más de 340 millones de dólares en toda la industria en 2026. El peaje incluye una brecha de 25 millones de dólares en Resolv, una pérdida de 11 millones en Verus y un golpe de 4 millones a IoTeX.
Lee a continuación: El bot JaredFromSubway pierde 7,5 millones de dólares tras caer en su propia trampa