Arturo Trenard
Explotación del puente Secret Network por $4.7 millones mediante un error de «minteo infinito»
Un exploit en el puente de Secret Network, ocurrido el 10 de junio de 2026 pero descubierto una semana después, resultó en la pérdida de $4.67 millones. El atacante aprovechó una vulnerabilidad de «minteo infinito» en un contrato inteligente para crear tokens envueltos de Axelar sin respaldo, y luego los canjeó por los activos reales mantenidos en custodia. Este incidente se suma a una ola de al menos 22 ataques a protocolos cripto registrados durante el mismo mes.
La empresa de investigación Common Prefix identificó la vulnerabilidad el miércoles 17 de junio, tras detectar una transacción fallida por «fondos insuficientes». El análisis reveló que el contrato inteligente no verificaba el origen de la transferencia entrante antes de mintear, lo que permitió al atacante forjar depósitos a través de un canal controlado por él.
“El contrato inteligente no verificaba el origen de la transferencia entrante antes de mintear, lo que permitió al atacante forjar depósitos a través de un canal controlado por él”, explicó Common Prefix en su informe.
Como resultado, el atacante generó saTokens genuinos sin activos reales que los respaldaran. Los activos minteados sin respaldo incluyeron saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH, todos ellos versiones envueltas de tokens de la red de interoperabilidad Axelar.
Tras el exploit, los fondos fueron transferidos inicialmente a la blockchain de Ethereum, donde el atacante convirtió los activos explotados a Ether (ETH). Posteriormente, los recursos fueron distribuidos entre aproximadamente 30 carteras y finalmente depositados en exchanges como KuCoin, ChangeNow y HitBTC.
“Si posees tokens saXXX de Axelar puenteados en Secret, ten en cuenta que su respaldo fue afectado y tus fondos podrían perderse”, advirtió Secret Network en un comunicado oficial.
Contexto del ecosistema
Secret Network es una blockchain de capa 1 centrada en privacidad, construida sobre el ecosistema Cosmos. Su token nativo, SCRT, cotiza actualmente a $0.058, lo que representa una caída del 99% desde su máximo histórico alcanzado en 2021.
Por su parte, Axelar es una red de interoperabilidad descentralizada que conecta diferentes ecosistemas blockchain. Su token nativo, AXL, cotiza a $0.045, con una caída del 98% desde su pico de 2024.
Axelar se desligó rápidamente del incidente. “Ni Axelar ni IBC fueron comprometidos», afirmó la compañía en un comunicado. «El contrato inteligente explotado no fue desarrollado, desplegado ni mantenido por Axelar». La empresa agregó que «el cortafuegos de Axelar evitó que el impacto se extendiera a otras cadenas».
Ola de ataques en junio de 2026
El exploit de Secret Network se enmarca en un contexto de creciente actividad maliciosa en el ecosistema cripto. Durante junio de 2026 se registraron al menos 22 ataques a protocolos, según datos de seguridad.
Los exploits más grandes del mes incluyen el ataque a Humanity Protocol por $32 millones, el Syscoin Bridge por $8 millones, y el de Secret Network por $4.67 millones. Otro incidente relevante fue la explotación de un contrato inteligente abandonado en Aztec Connect, que resultó en pérdidas por $2.1 millones.
La cadena de ataques evidencia la persistencia de vulnerabilidades en contratos inteligentes y la necesidad de auditorías rigurosas en protocolos que manejan fondos de usuarios.
