Un atacante drenó aproximadamente $4.67 millones del puente Axelar de Secret Network al explotar una falla en un contrato de token personalizado, y el robo pasó desapercibido durante siete días, según un análisis post-mortem publicado el viernes por la firma de investigación de blockchain y principal administrador de Axelar, Common Prefix.

El exploit afectó a un contrato CW20-ICS20 modificado en Secret, la conexión que maneja los activos puenteados desde Axelar. El contrato acuñaba versiones envueltas de Secret de activos envueltos de Axelar, conocidos como saTokens, sin verificar de qué canal provenía realmente una transferencia entrante. Esa brecha permitió al atacante forjar depósitos y acuñar saTokens genuinos sin ningún respaldo.

Abrir un canal IBC no requiere permiso, por lo que, en un movimiento indudablemente astuto, el atacante puso en marcha una cadena Cosmos de un solo validador, abrió un canal al contrato del puente y auto-retransmitió paquetes falsificados que contenían denominaciones de tokens que coincidían con la lista de permitidos del contrato. El contrato no pudo distinguir esas denominaciones desnudas de las que llegaban a través del canal real de Axelar, por lo que acuñó saTokens contra ellas. El canje de los saldos acuñados de nuevo a través del canal legítimo de Axelar liberó entonces los activos reales mantenidos en depósito.

El drenaje abarcó siete saTokens: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH, según Common Prefix.

La vulnerabilidad no era nueva. Common Prefix la rastreó hasta el despliegue inicial del contrato a principios de 2023, y una migración del 5 de marzo que actualizó el bytecode para nuevas funcionalidades arrastró las mismas comprobaciones faltantes. El ataque del 10 de junio afectó a ese código migrado.

En su propio informe, Secret Network dijo que el contrato del puente había sido adaptado de un modelo de depósito en garantía a un modelo de acuñación para la integración de Axelar, y que las dos funciones que habrían validado el origen de una transferencia fueron eliminadas en esa reelaboración. El equipo de Secret añadió que Axelar no solicitó ninguna auditoría externa como parte de la integración.

Los saldos en la red están cifrados por defecto, por lo que la garantía faltante no era visible en la cadena como lo sería un pool drenado en Ethereum. La escasez salió a la luz recién el 17 de junio, cuando una transferencia normal entre cadenas en Axelar falló con un error que mostraba que la cuenta de depósito en garantía ya no tenía suficiente para cubrirla. Los investigadores rastrearon la brecha hasta siete retiros realizados el 10 de junio.

Sin embargo, Secret argumentó en su publicación que "no se activaron mecanismos efectivos de monitoreo, detección de anomalías o pausa de emergencia dentro de la infraestructura del puente Axelar para identificar y detener temporalmente transferencias inusualmente grandes o sospechosas antes de que los activos del puente fueran sustancialmente drenados de Axelar".

El hallazgo se hace eco en cierta medida de la vulnerabilidad descubierta recientemente en Zcash, otra red cifrada, que podría haber permitido a un hacker crear un número "ilimitado" de tokens falsificados dentro del pool. La divulgación de la vulnerabilidad provocó que el precio del token ZEC cayera más del 30%.

El comité de emergencia de Axelar deshabilitó las conexiones Secret y Secret-SNIP después del descubrimiento, y el enrutador entre cadenas Squid eliminó Secret de su interfaz. Axelar dijo que su protocolo principal nunca fue afectado y que ninguna otra cadena, canal o cuenta de depósito en garantía fue tocada. El equipo de Secret fue notificado para detener y migrar el contrato afectado.

El rastreo de Common Prefix muestra que los activos robados por el hacker fueron retirados a Axelar, enrutados a través de Osmosis usando reenvío automático de paquetes, luego puenteados a Ethereum y mayormente intercambiados por ether en CoW Protocol. El ether se dividió en aproximadamente 30 transferencias a nuevas carteras antes de llegar a direcciones de depósito en KuCoin, ChangeNow y HitBTC.

Ambos tokens han experimentado ganancias de precio en las últimas 24 horas a pesar de la divulgación del incidente. El AXL de Axelar ha subido aproximadamente un 1.3%, según la página de precios de Axelar de The Block, mientras que el SCRT de Secret ha subido un 5.6% en el último día al momento de la publicación.

El drenaje es el último de una serie de exploits entre cadenas en 2026. En abril, un atacante tomó alrededor de $292 millones en rsETH del puente basado en LayerZero de Kelp DAO, un evento mucho mayor cuyas consecuencias se extendieron a Aave antes de que un esfuerzo de recuperación de la comunidad lo contuviera.

En su publicación en el foro, Secret Network dijo que aproximadamente $770,000 de los fondos robados permanecían en la cartera del atacante en Axelar al momento de la publicación. Secret dijo que identificó esos activos, los marcó como recuperables y solicitó al equipo de Axelar que los congelara o que trabajara con su comunidad para hacerlo, "una solicitud que han decidido no atender". Axelar dijo por separado que está coordinando con intercambios y las fuerzas del orden y no ha dado un cronograma para restaurar la conexión.

Los datos de Axelarscan vistos por The Block mostraron que la cartera Axelar del atacante aún contenía 6.2 WBTC, 239,324 USDC, 64.04 WBNB y 248.85 AXL, con un valor aproximado de $672,000 según los precios al momento de la publicación.  

Axelar ha rechazado cualquier interpretación que le atribuya la culpa del fallo. "Ni Axelar ni IBC fueron comprometidos", escribió el equipo en una publicación de seguimiento. "El contrato inteligente de token explotado no fue desarrollado, desplegado ni mantenido por Axelar". El equipo dijo que la falla no estaba en la lógica específica de Axelar ni en el propio IBC.

The Block no pudo contactar inmediatamente a Axelar o Secret Network para comentarios.