Ein Angreifer hat rund 4,67 Mio. $ aus einer Secret-(SCRT)-Bridge abgezogen, die mit Axelar (AXL) verbunden ist, indem er einen fehlerhaften Smart Contract ausnutzte, der aus dem Nichts ungedeckte Token prägte.
Wichtigste Punkte:
- Ein fehlerhafter Secret-Network-Contract ließ einen Angreifer ungedeckte Token prägen und so etwa 4,67 Mio. $ abziehen.
- Der Diebstahl blieb sieben Tage lang unentdeckt, bis eine fehlgeschlagene Überweisung das leere Escrow-Konto enthüllte.
- Axelar deaktivierte die betroffenen Verbindungen und betonte, dass das Kernprotokoll nie berührt wurde.
Secret Network Bridge verliert Millionen
Der Diebstahl begann am 10. Juni, blieb jedoch sieben Tage lang unbemerkt, da Secret Kontostände standardmäßig verschlüsselt und die fehlende Besicherung nicht on-chain sichtbar war. Er kam erst am 17. Juni ans Licht, als eine routinemäßige Cross-Chain-Überweisung fehlschlug, weil das Escrow-Konto leer war. Ermittler verfolgten das Defizit anschließend zurück zu sieben verdächtigen Abhebungen, die am ersten Tag vorgenommen worden waren.
Axelar bestätigte den Verlust am 19. Juni und deaktivierte innerhalb von Stunden die betroffenen Secret- und Secret-SNIP-Verbindungen, wobei das Team betonte, dass das Kernprotokoll nie angegriffen wurde. Zudem teilte das Team mit, dass es Börsen und Strafverfolgungsbehörden kontaktiert habe, um die Gelder nachzuverfolgen – rund 672.000 $ davon liegen noch immer unberührt in der Hauptwallet des Angreifers.
Auch lesenswert: Bitcoin-ETF-Flucht erreicht Rekord von 6,35 Mrd. $, aber Panikverkäufe könnten abkühlen
Infinite-Mint-Fehler täuschte den Contract
Der verwundbare Contract prägte Secret-verwaltete Kopien von gebridgten Assets, überprüfte jedoch nie, aus welchem Channel eine Einzahlung tatsächlich stammte, sondern glich lediglich den Namen eines Tokens mit einer genehmigten Liste ab.
Die Forschungsfirma Common Prefix veröffentlichte eine Post-Mortem-Analyse, die zeigt, wie genau diese eine Lücke alles ins Wanken brachte. Da das Netzwerk Überweisungen standardmäßig verbirgt, erwies sich die Nachverfolgung des Angreifers als deutlich schwieriger, als es auf einer vollständig transparenten öffentlichen Blockchain gewesen wäre.
Um die Lücke auszunutzen, startete der Angreifer eine eigene Chain mit nur einem Validator, öffnete einen nicht autorisierten Channel und relayte selbst gefälschte Pakete, die Token-Namen trugen, die direkt von der Allowlist übernommen worden waren.
Der Contract akzeptierte sie und prägte echte, einlösbare Token, hinter denen keinerlei Deckung stand.
Die Einlösung dieser Fälschungen über den echten Channel leerte anschließend das Escrow über sieben Wrapped Assets hinweg. Die Schwachstelle war nicht neu; die Firma berichtete, dass dieselbe Logik seit 2023 im Code steckte und sogar eine Migration im März 2026 überstanden hatte. Secret fügte hinzu, dass beim ursprünglichen Bau der Bridge kein externes Audit angefordert wurde.
Cross-Chain-Bridges bleiben verwundbar
Die gestohlenen Gelder flossen über Osmosis, wurden auf einer dezentralen Börse in Ether (ETH) getauscht und über Dutzende frische Wallets verteilt, bevor sie schließlich drei zentralisierte Börsen erreichten. Die Reaktion des breiteren Markts blieb verhalten: Axalars Token verlor an diesem Tag etwa 2,2 %, während Secret nahezu unverändert blieb.
Dennoch verlängert der Verlust ein ohnehin brutales Jahr für Cross-Chain-Infrastruktur. Bridges, die auf ähnlichen Lock-and-Mint-Designs basieren, bleiben die am häufigsten ausgenutzte Angriffsfläche im Krypto-Sektor; vergleichbare Schwachstellen haben die Branche 2026 bereits mehr als 340 Mio. $ gekostet. Dazu zählen ein Vorfall über 25 Mio. $ bei Resolv, ein Verlust von 11 Mio. $ bei Verus und ein Schaden von 4 Mio. $ bei IoTeX.
Als Nächstes lesen: JaredFromSubway-Bot verliert 7,5 Mio. $, nachdem er auf seine eigene Falle hereinfiel