Un atacante drenó cerca de $4,67 millones de un puente de Secret (SCRT) vinculado a Axelar (AXL), explotando un contrato defectuoso que acuñaba tokens sin respaldo de la nada.
Puntos clave:
- Un contrato defectuoso de Secret Network permitió a un atacante acuñar tokens sin respaldo y drenar unos $4,67 millones.
- El robo permaneció oculto durante siete días, hasta que una transferencia fallida dejó al descubierto el depósito vacío.
- Axelar deshabilitó las conexiones afectadas y afirmó que su protocolo central nunca fue tocado.
El puente de Secret Network pierde millones
El robo comenzó el 10 de junio pero pasó desapercibido durante siete días, ya que Secret cifra los saldos por defecto y el colateral faltante nunca apareció en cadena. Solo salió a la luz el 17 de junio, cuando una transferencia rutinaria entre cadenas falló porque la cuenta de depósito se había quedado sin fondos. Los investigadores rastrearon luego el faltante hasta siete retiros sospechosos realizados el día inicial.
Axelar confirmó la pérdida el 19 de junio y deshabilitó en pocas horas las conexiones Secret y Secret-SNIP afectadas, subrayando que su protocolo central nunca fue tocado. El equipo afirmó que ha contactado a exchanges y a las fuerzas del orden para rastrear los fondos, de los cuales unos $672.000 siguen intactos en la cartera principal del atacante.
También lee: Éxodo récord de ETFs de Bitcoin alcanza $6,35B, pero el pánico vendedor podría estar enfriándose
El fallo de acuñación infinita engañó al contrato
El contrato vulnerable acuñaba versiones envueltas en Secret de los activos puenteados, pero nunca verificaba de qué canal provenía realmente un depósito; solo comparaba el nombre del token con una lista aprobada.
La firma de investigación Common Prefix publicó una autopsia que detalla cómo ese único vacío deshizo todo. Como la red oculta las transferencias por defecto, rastrear al atacante resultó mucho más difícil de lo que habría sido en un libro mayor público totalmente transparente.
Para explotarlo, el atacante levantó una cadena con un solo validador, abrió un canal no autorizado y se auto-retransmitió paquetes falsificados que contenían nombres de tokens tomados directamente de la lista permitida.
El contrato los aceptó y acuñó tokens reales y canjeables sin absolutamente nada que los respaldara.
Al canjear esos falsos a través del canal legítimo, se vació el depósito a través de siete activos envueltos. El fallo no era nuevo, y la firma informó que la misma lógica llevaba en el código desde 2023 y sobrevivió a una migración en marzo de 2026. Secret añadió que no se solicitó ninguna auditoría externa cuando el puente se construyó por primera vez.
Los puentes entre cadenas siguen expuestos
Los fondos robados pasaron por Osmosis, se cambiaron a Ether (ETH) en un exchange descentralizado y se dispersaron entre docenas de nuevas carteras antes de llegar finalmente a tres exchanges centralizados. La reacción del mercado en general fue moderada: el token de Axelar cayó alrededor de un 2,2 % en el día y Secret se mantuvo casi plano.
Aun así, la pérdida prolonga un año brutal para la infraestructura entre cadenas. Los puentes basados en diseños similares de bloqueo-y-acuñación siguen siendo la superficie más explotada en cripto, con fallos comparables que han costado más de $340 millones en toda la industria en 2026. El peaje incluye una brecha de $25 millones en Resolv, una pérdida de $11 millones en Verus y un golpe de $4 millones a IoTeX.
Lee a continuación: El bot JaredFromSubway pierde $7,5M tras caer en su propia trampa