El Robo del Puente de $4,67M de Secret Network Comenzó con una Verificación Faltante

Un atacante drenó aproximadamente $4.67 millones de un puente de Secret (SCRT) vinculado a Axelar (AXL), explotando un contrato defectuoso que acuñó tokens sin respaldo de la nada.

Puntos Clave:

El Puente de Secret Network Pierde Millones

El robo comenzó el 10 de junio, pero pasó desapercibido durante siete días, ya que Secret cifra los saldos por defecto y el colateral faltante nunca apareció en cadena. Salió a la luz recién el 17 de junio, cuando una transferencia cross-chain de rutina falló porque la cuenta de custodia se había agotado. Los investigadores entonces rastrearon el déficit hasta siete retiros sospechosos realizados el día inicial.

Axelar confirmó la pérdida el 19 de junio y desactivó las conexiones Secret y Secret-SNIP afectadas en cuestión de horas, mientras subrayaba que su protocolo central nunca fue tocado. El equipo indicó que ha contactado a exchanges y autoridades para rastrear los fondos, de los cuales aproximadamente $672,000 permanecen intactos en la billetera principal del atacante.

Lea también: Bitcoin ETF Exodus Hits Record $6.35B, But Panic Selling May Be Cooling

Una Falla de Acuñación Infinita Engañó al Contrato

El contrato vulnerable acuñaba copias envueltas de Secret de los activos puenteados, pero nunca verificó de qué canal provenía realmente un depósito, cotejando únicamente el nombre de un token contra una lista aprobada.

La firma de investigación Common Prefix publicó un análisis post-mortem que mapea cómo esa única brecha se desmoronó. Dado que la red oculta las transferencias por defecto, rastrear al atacante resultó mucho más difícil de lo que habría sido en un libro de contabilidad público completamente transparente.

Para explotarlo, el atacante creó una cadena con un solo validador, abrió un canal no autorizado y retransmitió por sí mismo paquetes falsificados que llevaban nombres de tokens extraídos directamente de la lista permitida.

El contrato los aceptó y acuñó tokens reales y canjeables sin absolutamente nada que los respaldara.

Canjear esos tokens falsos a través del canal genuino vació la custodia en siete activos envueltos. La falla no era nueva; la firma reportó que la misma lógica había estado en el código desde 2023 y sobrevivió una migración de marzo de 2026. Secret añadió que no se solicitó ninguna auditoría externa cuando el puente fue construido por primera vez.

Los Puentes Cross-Chain Siguen Expuestos

Los fondos robados se movieron a través de Osmosis, se intercambiaron por Ether (ETH) en un exchange descentralizado y se dispersaron en docenas de billeteras nuevas antes de llegar finalmente a tres exchanges centralizados. La respuesta más amplia del mercado se mantuvo silenciada, con el token de Axelar cayendo aproximadamente un 2.2% en el día y Secret manteniéndose casi estable.

Aun así, la pérdida extiende un año brutal para la infraestructura cross-chain. Los puentes construidos con diseños similares de bloqueo y acuñación siguen siendo la superficie más explotada en las criptomonedas, con fallas comparables que costaron más de $340 millones en toda la industria en 2026. El costo incluye una brecha de $25 millones en Resolv, una pérdida de $11 millones en Verus y un golpe de $4 millones a IoTeX.

Lea a continuación: JaredFromSubway Bot Loses $7.5M After Taking Its Own Bait