Hackeo de criptomonedas de $4,7 millones impacta a Secret Network

El proyecto de blockchain centrado en la privacidad, Secret Network, ha sido afectado por una gran explotación que resultó en el robo de aproximadamente 4,67 millones de dólares en criptomonedas. La vulnerabilidad se encontraba en un contrato inteligente vinculado al protocolo de interoperabilidad Axelar, permitiendo a un atacante crear nuevos tokens ilimitadamente y luego canjearlos por activos cripto reales.

La explotación fue llevada a cabo el 10 de junio, pero pasó desapercibida durante días. No fue hasta que una transacción entre cadenas falló por falta de reservas que se descubrió el ataque.

El atacante pudo crear tokens ilimitadamente

Según la investigación de la empresa de seguridad blockchain Common Prefix, el hacker explotó un fallo conocido como «infinite mint-bug». Este tipo de vulnerabilidad permite crear nuevos tokens sin que tengan un valor subyacente real.

El error estaba en un contrato inteligente utilizado para la emisión de activos envueltos a través de Axelar. Normalmente, tales tokens solo se emiten cuando se bloquean activos cripto reales como garantía.

En este caso, el contrato no verificaba si un depósito provenía de una fuente válida, permitiendo al atacante simular depósitos falsos y recibir tokens válidos.

Estos tokens fueron luego canjeados por activos reales que estaban almacenados como reserva. De esta manera, el hacker logró desviar millones de dólares en garantía del protocolo.

Varios tokens y blockchains afectados

La explotación afectó a varios activos basados en Axelar, incluidos saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH.

Según Common Prefix, los fondos robados se trasladaron posteriormente a la red de Ethereum. Allí, los tokens se convirtieron en Ether (ETH) y las ganancias se distribuyeron en aproximadamente treinta billeteras diferentes.

Finalmente, los fondos llegaron a varias plataformas de intercambio de criptomonedas, entre ellas KuCoin, ChangeNow y HitBTC.

Secret Network advierte a los usuarios

Secret Network ha advertido a los usuarios que la cobertura detrás de los tokens afectados ya no está completamente disponible, lo que significa que los poseedores de estos activos podrían sufrir pérdidas.

Según la red, los titulares de tokens saXXX emitidos a través de Axelar deben tener en cuenta que una parte de las reservas subyacentes ha desaparecido.

El token nativo de la red, SCRT, no fue afectado directamente por el ataque. Sin embargo, el incidente ocurre en un momento delicado, ya que el precio de SCRT sigue estando aproximadamente un 99% por debajo del nivel récord alcanzado durante el mercado alcista de 2021.

Axelar señala al contrato inteligente vulnerable

Tras conocerse la explotación, surgió confusión sobre el papel de Axelar. El protocolo de interoperabilidad subrayó que su propia infraestructura no fue hackeada.

Según Axelar, la causa se encontraba completamente en el contrato inteligente vulnerable que no fue desarrollado, implementado ni mantenido por la empresa. El protocolo afirma además que su arquitectura de seguridad evitó que el daño se extendiera a otras blockchains.

El incidente demuestra nuevamente cuán vulnerables pueden ser los contratos inteligentes. Un solo error de programación puede ser suficiente para exponer millones de dólares en reservas.

El ataque a Secret Network se sitúa entre los mayores hackeos de criptomonedas de este mes. Según datos de DeFiLlama, en junio ya se han registrado más de veinte hackeos y explotaciones en el sector cripto. Anteriormente, también se vieron afectados Humanity Protocol y Syscoin Bridge, con pérdidas de aproximadamente 32 millones y 8 millones de dólares, respectivamente.