-
El contrato vulnerado era el encargado de procesar los tokens que recibía Secret desde Axelar.
-
Las funciones de privacidad de Secret Network impiden revisar cómo se ejecutó el ataque.
Un exploit sobre un contrato inteligente de la red Secret Network resultó en el drenaje de aproximadamente USD 4,67 millones en tokens, según informó el equipo de Axelar Network hoy 19 de junio. El fallo estuvo en el contrato inteligente que procesaba las transferencias de activos que llegaban desde Axelar a Secret a través de IBC, el protocolo estándar del ecosistema Cosmos para mover activos entre distintas redes.
Axelar Network es una red de interoperabilidad que conecta distintas cadenas y que permite transferir tokens entre ellas. Secret Network, por su parte, es una red del ecosistema Cosmos cuya característica principal es la privacidad por defecto, ya que los datos de sus transacciones y contratos inteligentes están cifrados y no son visibles públicamente. Ambas redes estaban conectadas mediante un canal IBC que permitía a los usuarios mover activos de una a la otra.
Desde Axelar explicaron que el contrato que falló es el ICS-20, una implementación del estándar de transferencia de tokens de IBC que funciona como la puerta de entrada del lado de Secret Network. Su función era recibir los tokens enviados desde Axelar y procesarlos, lo que incluía convertirlos en versiones privadas conocidas como SNIP-20, el formato de token fungible de Secret Network.
Ese contrato, según el comunicado de Axelar, fue el único punto comprometido y el protocolo central de Axelar y el resto de sus conexiones IBC no habrían sido afectados.
¿Cómo habría operado el atacante?
El desarrollador especializado en contratos inteligentes conocido en X como Param describió el mecanismo que habría permitido el exploit.
Según su análisis, el hacker habría logrado acuñar tokens representativos dentro de Secret Network sin bloquear los activos originales del lado de Axelar, una técnica conocida como acuñación sin colateral en la que el atacante token sin respaldo en la cadena destino porque el contrato no verificó correctamente que los fondos reales estuvieran respaldando esa emisión.
De ese modo, habría obtenido tokens que no tenían activos reales detrás y los habría canjeado por fondos genuinos depositados por otros usuarios. Param identificó la dirección del contrato atacante: secret1yxjmepvyl2c25vnt53cr2dpn8amknwausxee83.
El mecanismo exacto del exploit no fue confirmado por Axelar en su comunicado inicial; el equipo anunció la preparación de un postmortem, es decir, un informe técnico detallado sobre lo ocurrido, sin precisar fecha de publicación.
Un obstáculo adicional complica la reconstrucción del ataque: las funciones de privacidad nativas de Secret Network, que cifran los datos de sus contratos y transacciones, impiden la revisión pública del exploit, según señaló Param.
Finalmente, Axelar informó que su comité de emergencia deshabilitó las conexiones Secret y Secret-SNIP de forma inmediata tras detectar el incidente, y que contactó a exchanges relevantes y agencias de ley para rastrear los fondos sustraídos. El comunicado no menciona ningún mecanismo de compensación para los usuarios afectados.
Los contratos inteligentes son un blanco directo para los hackeos con IA
Si bien el enunciado de Axelar no mencionó el uso de herramientas de inteligencia artificial (IA), su empleo es probable dado el aumento de casos que desde hace meses ocurre en el ecosistema de redes de criptomonedas con contratos inteligentes y del mundo de finanzas descentralizadas (DeFi).
Ese incremento es producto de que los contratos inteligentes tienen tres características que los hacen especialmente vulnerables frente a atacantes asistidos por IA: su código es público desde el momento en que se despliega, no puede modificarse una vez activo, y no existe un mecanismo equivalente al parche de seguridad, ya que corregir una falla exige migrar el contrato a una versión nueva con toda la coordinación que eso implica.
Un atacante puede estudiar ese código sin restricciones, ensayar el exploit en una copia exacta de la red sin costo ni riesgo, y ejecutarlo cuando esté listo. El defensor, en cambio, no tiene forma de anticiparse si no detecta la falla primero.
Los puentes, el eslabón más expuesto
El incidente reproduce un patrón documentado por Robert Campbell, investigador y miembro de la British Blockchain Association, quien clasificó los puentes entre redes como el vector de mayor exposición ante ataques en redes de criptomonedas, y advirtió que la inteligencia artificial comprime el tiempo que necesita un atacante para descubrir una vulnerabilidad y convertirla en un exploit funcional de semanas a horas, como lo reportó CriptoNoticias.
Wormhole, Ronin, Nomad y Poly Network acumularon pérdidas superiores a USD 1.740 millones ejecutadas por atacantes que operaban sin capacidad de IA autónoma, contra las mismas condiciones arquitectónicas que hoy enfrenta el canal entre Axelar y Secret. Tres de los cuatro, según el análisis de Campbell, involucraron fallas de código descubribles mediante la revisión del código fuente público, el mismo tipo de revisión que una IA puede ejecutar de forma continua y a una escala mayor que la de un equipo de auditores.
