Secret Network pierde $4.67 millones en exploto de cadena cruzada de Axelar, sin detectar durante siete días

21 jun 2026

Secret Network pierde $4.67 millones en exploto de cadena cruzada de Axelar, sin detectar durante siete días

El 21 de junio de 2026, investigadores de Common Prefix publicaron hallazgos sobre un incidente de puente de cadena cruzada que involucraba a Secret Network y un contrato conectado a Axelar. El atacante supuestamente explotó una falla en un contrato de puente ICS-20 del lado de Secret, falsificó "depósitos", acuñó tokens sin respaldo y retiró liquidez por un estimado de $4.67 millones.

Lo que hace que este evento sea especialmente instructivo no es solo la cantidad de la pérdida, sino la cronología: el exploto supuestamente persistió durante aproximadamente una semana antes de que alguien se diera cuenta, y la primera señal clara no fue una alerta, sino una falla operativa cuando una transferencia legítima no pudo completarse.

Este artículo desglosa lo que sucedió, por qué el modo de falla es común en los sistemas de cadena cruzada y qué pueden hacer tanto los usuarios como los desarrolladores para reducir la exposición a medida que la interoperabilidad se convierte en la norma en el diseño de productos criptográficos de 2025-2026.

Lo que supuestamente sucedió: una línea de tiempo clara, una alarma tardía

Según la investigación divulgada:

  • 10 de junio de 2026: el atacante comenzó a abusar de una vulnerabilidad en un contrato de puente de cadena cruzada Secret Network ↔ Axelar al fabricar el estado de transferencia entrante y acuñar tokens sin garantía.
  • 10-17 de junio de 2026: el atacante convirtió repetidamente los activos acuñados en tokens más líquidos y desvió las ganancias hacia el exterior.
  • 17 de junio de 2026: una transferencia de cadena cruzada normal falló porque la cuenta de custodia/escrow del puente ya no tenía fondos suficientes, lo que puso de manifiesto la anomalía.

Este patrón de "drenaje silencioso hasta que un usuario choca contra el muro" es un riesgo operativo recurrente para los puentes: si el monitoreo se centra en el tiempo de actividad y el rendimiento de los mensajes (en lugar de en las invariantes económicas), los explotos pueden ocultarse a simple vista.

Para los lectores que deseen un repaso sobre cómo se modelan típicamente las transferencias de tokens de estilo IBC (escrow en un lado, representación acuñada en el otro), la documentación de Secret Network sobre herramientas relacionadas con IBC e ICS-20 es un buen punto de partida.

Causa raíz (según se describe): cuando un modelo de escrow se convierte en un modelo de acuñación

El análisis divulgado atribuye el error principal a una refactorización del contrato: un cambio de un flujo de custodia / escrow a un flujo de acuñación, al tiempo que se eliminaron comprobaciones críticas que demostraban el origen de la transferencia.

En palabras sencillas:

  1. Un contrato de puente recibe un mensaje de cadena cruzada que dice: "Se depositaron X tokens en la Cadena A para el usuario Y".
  2. El contrato de destino debe verificar que el mensaje provino realmente del canal / puerta de enlace / remitente esperado.
  3. Solo entonces debe acuñar o liberar activos.

Según la divulgación, el contrato vulnerable eliminó dos funciones clave responsables de validar el origen de las transferencias, lo que permitió a un atacante enviar datos que parecían una transferencia entrante válida y activar la acuñación sin respaldo real.

Peor aún, el informe afirma que el contrato se había implementado desde principios de 2023 y nunca se sometió a una auditoría externa, una brecha de gobernanza y proceso difícil de justificar para cualquier contrato que controle la autoridad de acuñación de cadenas cruzadas.

Como contexto sobre la seriedad que se espera de las auditorías de puentes en la capa de infraestructura, puede revisar los recursos públicos de auditoría de Axelar en el repositorio de auditorías de Axelar Network y la propia perspectiva de Axelar en su publicación sobre seguridad en el núcleo de Axelar.

Por qué pasó desapercibido: "sin sirenas" antes de que la bóveda estuviera vacía

Una afirmación clave por parte de Secret Network es que la infraestructura de puente de Axelar no activó una detección de anomalías efectiva ni un mecanismo de pausa de emergencia antes de que un valor significativo ya hubiera salido del sistema.

Ya sea que la responsabilidad recaiga en última instancia en el contrato de la aplicación, el proveedor del puente o las operaciones compartidas, la lección es más amplia:

Los sistemas de cadena cruzada necesitan monitoreo económico, no solo técnico

Los puentes no son solo "tuberías de mensajes". Son sistemas financieros con invariantes:

  • Suministro acuñado vs. respaldo en escrow
  • Límites diarios de acuñación
  • Límites de exposición por ruta
  • Patrones anormales de canje / intercambio
  • Pico en transferencias fallidas (a menudo un síntoma en etapa tardía)

En 2026, la industria ya está revalorizando este riesgo. Por ejemplo, después de un evento separado impulsado por un puente, Aave se movió para endurecer las normas de cotización y riesgo, destacando cómo la fragilidad de los puentes puede extenderse a los mercados monetarios de DeFi (Cobertura de CoinDesk).

A dónde fueron los fondos: enrutamiento a través de Osmosis, liquidación en Ethereum, luego vías de salida a CEX

El rastreo divulgado indica una ruta de lavado familiar:

  1. Los activos se enrutaron a través de vías de liquidez de Cosmos, supuestamente a través de Osmosis, que funciona como un importante centro DEX de cadena cruzada (ver documentación de Osmosis).
  2. Luego, las ganancias se transfirieron a Ethereum y se intercambiaron por ETH utilizando CoW Protocol (ver documentación de CoW Protocol), antes de fragmentarse en múltiples direcciones.
  3. Se informó que algunos fondos llegaron a lugares centralizados, incluidos KuCoin, ChangeNow y HitBTC.

El informe también afirma que aproximadamente $672,000 permanecían en una billetera de Axelar controlada por el atacante en el momento de la publicación, y que se negaron las solicitudes para congelar esa dirección, mientras que Axelar enfatizó que el contrato explotado no fue desarrollado ni mantenido por Axelar, y que el protocolo central de Axelar no se vio comprometido.

Lo que este incidente dice sobre el riesgo de puentes en 2025-2026

La interoperabilidad se está acelerando: la experiencia del usuario de las billeteras tiende a ser "cadena cruzada de un clic", y las aplicaciones asumen cada vez más la abstracción de la cadena por defecto. Pero esa conveniencia amplía la superficie de ataque de tres maneras:

  1. Más contratos obtienen autoridad de acuñación en alguna parte (y la autoridad de acuñación es el privilegio más alto en el diseño de tokens).
  2. Las refactorizaciones son frecuentes a medida que los equipos persiguen rutas más rápidas, tarifas más bajas y una mejor experiencia de usuario, lo que a menudo introduce riesgos de regresión.
  3. La responsabilidad se vuelve ambigua entre los equipos de aplicaciones, los proveedores de puentes, los retransmisores y las configuraciones de monitoreo.

El resultado: incluso si una red de puentes es robusta, un solo contrato de integración débil puede convertirse en el punto de falla.

Conclusiones prácticas

Para desarrolladores: reducir el "radio de explosión de la autoridad de acuñación"

  • Trate cualquier contrato de acuñación de cadena cruzada como un componente sistémicamente importante: auditorías externas obligatorias, puertas de revisión formales y monitoreo continuo.
  • Agregue disyuntores: límites de tasa, límites por activo y disparadores de pausa automáticos vinculados a violaciones de invariantes.
  • Monitoree el respaldo frente al suministro acuñado en cada ruta; alerte sobre la deriva, no solo sobre el tiempo de inactividad.
  • Evite eliminar la lógica de validación durante los "cambios de modelo" (escrow → acuñación, o viceversa) sin una revisión adversaria y pruebas de regresión.

Para usuarios: asuman que los puentes son de mayor riesgo que los intercambios al contado

  • Mantenga solo lo que necesite en representaciones puenteadas; no trate los activos envueltos como almacenamiento en frío a largo plazo.
  • Después de transferir a través del puente, considere mover sus fondos a autocustodia y verifique el activo que recibió (cadena, denom, contrato) antes de interactuar más.
  • Prefiera flujos de trabajo donde pueda verificar de forma independiente lo que firma y a dónde va, especialmente al transferir y cambiar entre múltiples saltos.

Dónde encaja OneKey: autocustodia en un mundo de cadena cruzada

Los incidentes de puentes son un recordatorio de que "no son tus claves, no son tus monedas" es solo la mitad de la historia; la otra mitad es minimizar el tiempo y el valor que deja dentro de rutas complejas de contratos inteligentes.

Una billetera de hardware como OneKey ayuda al mantener las claves privadas desconectadas y al facilitar la revisión y confirmación de las direcciones de destino y la intención de la transacción antes de firmar, un hábito importante cuando la experiencia de usuario de cadena cruzada puede oscurecer lo que sucede entre bastidores.

En la realidad multichain de 2026, la opción más segura por defecto es: transferir a través del puente solo cuando sea necesario, verificar cada firma y volver a la autocustodia cuando haya terminado.

Asegura tu viaje cripto con OneKey

View details for Comprar OneKeyComprar OneKey

Comprar OneKey

La cartera de hardware más avanzada del mundo.

View details for Descargar aplicaciónDescargar aplicación

Descargar aplicación

Alertas de estafa. Todas las monedas soportadas.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Claridad cripto — a una llamada de distancia.