Se robaron tokens conectados a Axelar por valor de 4,67 millones de dólares en una explotación detracde Secret Network

Según el comunicado de Axelar del 19 de junio, se sustrajeron aproximadamente 4,67 millones de dólares en tokens de Secret Network después de que un atacante explotara untracinteligente basado en ICS-20 utilizado para facilitar las transferencias entre cadenas.

Eldent puso al descubierto otra vulnerabilidad en la infraestructura de puente que conecta las cadenas de bloques basadas en Cosmos, pero Axelar afirmó que el problema se limitó altracinteligente ICS-20 del lado de Secret, utilizado en la conexión IBC Cosmos entre Secret y Axelar. La compañía aseguró que el protocolo central de Axelar, otras conexiones IBC, otras cadenas y otras cuentas de depósito en garantía no se vieron afectadas.

Los activos robados eran tokens transferidos de Axelar a Secret Network, una cadena de bloques centrada en la privacidad y construida con el SDK Cosmos . Según la firma de investigación de seguridad de blockchain Common Prefix, el atacante explotó untracde token CW20-ICS20 modificado en Secret y robó alrededor de 4,67 millones de dólares en siete activos, incluidos USDT, USDC, DAI, WETH, WBTC,BNBy wstETH envueltos.

Un fallo en untracsecreto agota los activos conectados a Axelar

CW20-ICS20 modificado,tracSegún un informe resumido por Binance Square,

Estetracse utilizó para generar versiones envueltas de tokens conectados a Axelar después de que los usuarios depositaran sus tokens en Secret mediante el protocolo IBC. Sin embargo, eltracno verificó dos requisitos importantes: si las transferencias de tokens se iniciaron realmente a través de un canal IBC auténtico controlado por Axelar y si las solicitudes de reembolso superaban el saldo disponible en custodia.

Ignorando estos requisitos previos, eltracaceptaba todos los paquetes IBC maliciosos como válidos si el ID del token estaba en la lista de permitidos.

Los paquetes IBC falsos crearon tokens envueltos sin respaldo

Según el análisis de Common Prefix, el atacante creó una cadena de bloques Cosmos mínima con un único validador, abrió un nuevo canal IBC a Secret Network y envió paquetes de depósito falsos a través de esa ruta.

Eltracvulnerable recibió los paquetes y creó tokens envueltos sin respaldo en Secret. El ataque procedió canjeando los tokens envueltos a través del mecanismo Axelar correspondiente, vaciando las cuentas de depósito en garantía con activos puente reales.

Common Prefix afirmó que eltracno verificaba desde qué canal IBC llegaban los tokens. Esto permitió que los paquetes maliciosos enviados a través de la cadena controlada fueran aceptados como si fueran la operación de puente correcta.

El problema parece haber existido durante mucho tiempo. Common Prefix tracla validación faltante hasta las primeras confirmaciones públicas de 2023 y dijo que una migración de marzo de 2026 mantuvo la misma lógica en lugar de eliminar la vulnerabilidad subyacente.

El fallo estructural residía en la autenticación de mensajes. El sistema asumía que los componentes anteriores se encargarían de la autenticación, pero esta suposición no se cumplía con la configuración de enrutamiento del atacante. Como resultado, los mensajes falsificados podían pasar cuando las condiciones del canal y del token coincidían.

La respuesta de emergencia aísla la ruta afectada

Axelar declaró que su grupo de trabajo de emergencia desconectó la conexión IBC pertinente a Secret Network inmediatamente después dedenteldent.

El grupo recalcó que no se ha producido ninguna brecha en el protocolo principal de Axelar y que el problema se limita únicamente a Secret Network. Axelar también informó que está contactando a las plataformas de intercambio y a las autoridades.

Para los usuarios que transfirieron activos de Axelar a Secret a través de la ruta afectada, el problema inmediato es el canje. Al vaciarse la cuenta de depósito en garantía, los activos envueltos en Secret ya no se pueden canjear por los tokens subyacentes a través de ese canal.

La recuperación también puede ser más complicada que en un ataque típico de puente de cadena pública, ya que Secret Network cifra los saldos y las transferencias por defecto. Esto significa que la billetera del atacante y las transacciones explotadas son más difíciles de inspeccionar con los exploradores de bloques públicos estándar.

La seguridad del puente se enfrenta a otra prueba de validación

La pérdida de 4,67 millones de dólares es menor que la de algunos de los mayores ataques a puentes informáticos, pero eldent sigue siendo importante porque tocó un punto débil conocido: la validación de mensajes entre cadenas.

Como Cryptopolitan informó anteriormente, un puente de Syscoin fue suspendido este mes después de que un atacante explotara una vulnerabilidad de validación para acuñar aproximadamente 5 mil millones de tokens SYS no autorizados. Este incidentedent suma a una creciente lista de vulnerabilidades en puentes registradas en 2026.

En febrero, CrossCurve perdió aproximadamente 3 millones de dólares después de que unos atacantes explotaran vulnerabilidades en los contratos inteligentes del protocolotracsegún el análisis posterior al incidente realizado por Halborn.

El caso Secret demuestra que una sola suposición no abordada en la infraestructura entre cadenas es suficiente para provocar undentde vaciado total de la cuenta de depósito en garantía. Es posible que un protocolo subyacente permanezca intacto, mientras que lostracque se encuentran al borde de un puente aún pueden exponer los fondos de los usuarios.

Tanto Axelar como Secret Network han declarado que se está elaborando un análisis exhaustivo posterior al incidente. Hasta entonces, el canal comprometido sirve como advertencia de que la seguridad del puente no se limita al protocolo principal, sino que abarca todos lostracinteligentes que gestionan las comunicaciones entre cadenas.