Saltar al contenido
Est. MMXXVIVol. VI · № 294RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 290Exploit de puente

Exploit de acuñación infinita en el puente Axelar de Secret Network

Un contrato de puente defectuoso permitió forjar paquetes IBC y acuñar saTokens sin respaldo, drenando unos 4,67 millones de dólares en activos de Axelar.

Fecha
Víctima
Secret Network (Axelar bridge)
Cadena(s)
Secret NetworkAxelarOsmosisEthereum
Estado
Fondos robados

El 10 de junio de 2026, el puente que conecta Secret Network con Axelar fue explotado por aproximadamente 4,67 millones de dólares. El ataque pasó desapercibido durante siete días y solo salió a la luz el 17 de junio, cuando una transferencia cross-chain fallida reveló que la cuenta de garantía (escrow) de Axelar que respaldaba los activos puenteados había sido vaciada.

Qué ocurrió

El contrato de puente de Secret Network acuñaba versiones envueltas en Secret de los activos puenteados vía Axelar —conocidas como saTokens— pero no verificaba por qué canal IBC llegaba realmente una transferencia entrante. El atacante levantó una cadena Cosmos con un único validador, abrió un canal hacia el contrato de puente y autorrelevó paquetes falsificados que portaban denominaciones de tokens coincidentes con la lista permitida del contrato. Como el contrato confiaba en la denominación sin comprobar el canal de origen, acuñó saTokens genuinos sin respaldo alguno. El atacante canjeó luego esos tokens sin respaldo por unos 4,67 millones de dólares en activos reales — un fallo clásico de acuñación infinita.

Consecuencias

Los activos robados se retiraron a través de Axelar, se enrutaron vía Osmosis mediante reenvío automático de paquetes, se puentearon a Ethereum y se cambiaron en su mayoría por ether en CoW Protocol. Las ganancias se dividieron en unas 30 transferencias a billeteras nuevas antes de llegar a direcciones de depósito en KuCoin, ChangeNow y HitBTC. El comité de emergencia de Axelar deshabilitó las conexiones de Secret y Secret-SNIP una vez descubierto el drenaje, y el enrutador cross-chain Squid retiró Secret de su frontend. Axelar afirmó que su protocolo principal y las demás conexiones no se vieron afectados — la pérdida se limitó al contrato de puente de Secret Network.

Por qué importa

El exploit de Secret Network es un caso de manual de fallo en la frontera de confianza de IBC: un puente que validaba qué token llegaba pero no de dónde venía permitió a un atacante fabricar depósitos desde una cadena que él mismo controlaba. Replica los mismos patrones de mensajes falsificados y acuñación sin respaldo vistos en Gravity Bridge, Syscoin y Verus. También subraya una brecha de detección recurrente — pérdidas que permanecen ocultas durante días porque los indexadores y los saldos de garantía se concilian con demasiada lentitud, la misma debilidad de monitoreo que retrasó el descubrimiento en varios incidentes del ecosistema Cosmos en 2026.

Fuentes y evidencia on-chain

  1. [01]theblock.cohttps://www.theblock.co/post/405459/secret-networks-axelar-bridge-drained-for-4-67-million-in-infinite-mint-exploit-that-went-unnoticed-for-seven-days
  2. [02]crypto.newshttps://crypto.news/axelar-shuts-down-secret-network-bridge-routes-after-4-7m-exploit/
  3. [03]ambcrypto.comhttps://ambcrypto.com/axelar-disables-secret-connection-after-4-67m-exploit-hits-ibc-linked-assets/
  4. [04]cryptotimes.iohttps://www.cryptotimes.io/2026/06/19/4-67m-exploit-hits-axelar-secret-network-bridge-links-disabled/

Registros relacionados