Ein Angreifer hat rund 4,67 Millionen Dollar aus einer Secret-(SCRT)-Bridge, die mit Axelar (AXL) verbunden ist, abgezogen, indem er einen fehlerhaften Contract ausnutzte, der ungedeckte Token aus dem Nichts prägte.
Zentrale Punkte:
- Ein fehlerhafter Secret-Network-Contract ließ einen Angreifer ungedeckte Token prägen und so etwa 4,67 Millionen Dollar abziehen.
- Der Diebstahl blieb sieben Tage lang unentdeckt, bis eine fehlgeschlagene Transaktion das leere Escrow offenbarte.
- Axelar deaktivierte die betroffenen Verbindungen und betonte, dass das Kernprotokoll nie berührt wurde.
Secret-Network-Bridge verliert Millionen
Der Diebstahl begann am 10. Juni, blieb jedoch sieben Tage lang unbemerkt, da Secret Salden standardmäßig verschlüsselt und die fehlende Besicherung nicht on-chain sichtbar war. Er kam erst am 17. Juni ans Licht, als eine routinemäßige Cross-Chain-Transaktion fehlschlug, weil das Escrow-Konto leergeräumt war. Ermittler verfolgten das Defizit anschließend zu sieben verdächtigen Abhebungen zurück, die am ersten Tag vorgenommen wurden.
Axelar bestätigte den Verlust am 19. Juni und deaktivierte innerhalb weniger Stunden die betroffenen Secret- und Secret-SNIP-Verbindungen, während das Team betonte, dass das Kernprotokoll nie angegriffen wurde. Zudem erklärte es, man habe Börsen und Strafverfolgungsbehörden kontaktiert, um die Gelder zurückzuverfolgen – rund 672.000 Dollar davon liegen noch immer unangetastet in der Hauptwallet des Angreifers.
Auch lesenswert: Bitcoin-ETF-Flucht erreicht Rekord von 6,35 Mrd. $, aber Panikverkäufe könnten abkühlen
Infinite-Mint-Fehler täuschte den Contract
Der verwundbare Contract prägte Secret-gebündelte Kopien von gebridgten Assets, prüfte jedoch nie, über welchen Channel eine Einzahlung tatsächlich kam, sondern glich lediglich den Token-Namen mit einer genehmigten Liste ab.
Das Forschungsunternehmen Common Prefix veröffentlichte eine Post-Mortem-Analyse, die zeigt, wie diese einzelne Lücke alles ins Wanken brachte. Weil das Netzwerk Transfers standardmäßig verbirgt, erwies sich die Verfolgung des Angreifers als deutlich schwieriger, als es auf einem vollständig transparenten öffentlichen Ledger gewesen wäre.
Um die Schwachstelle auszunutzen, startete der Angreifer eine eigene Chain mit nur einem Validator, öffnete einen nicht autorisierten Channel und relayte selbst gefälschte Pakete, die Token-Namen enthielten, die direkt von der Allowlist übernommen waren.
Der Contract akzeptierte sie und prägte reale, einlösbare Token, denen absolut keine Deckung gegenüberstand.
Die Einlösung dieser Fälschungen über den echten Channel leerte anschließend das Escrow über sieben Wrapped-Assets hinweg. Der Fehler war nicht neu; das Unternehmen berichtete, dass dieselbe Logik seit 2023 im Code steckte und auch eine Migration im März 2026 überstanden hatte. Secret fügte hinzu, dass beim ursprünglichen Aufbau der Bridge kein externes Audit beauftragt wurde.
Cross-Chain-Bridges bleiben verwundbar
Die gestohlenen Gelder flossen über Osmosis, wurden auf einer dezentralen Börse in Ether (ETH) getauscht und über Dutzende frische Wallets verteilt, bevor sie schließlich drei zentralisierte Börsen erreichten. Die Reaktion des breiteren Marktes blieb verhalten; der Token von Axelar fiel am Tag um etwa 2,2 %, während Secret nahezu unverändert blieb.
Dennoch verlängert der Verlust ein brutales Jahr für Cross-Chain-Infrastruktur. Bridges, die auf ähnlichen Lock-and-Mint-Designs basieren, bleiben die am stärksten ausgenutzte Angriffsfläche im Kryptobereich; vergleichbare Schwachstellen kosteten die Branche 2026 insgesamt mehr als 340 Millionen Dollar. Zu den Fällen zählen ein 25-Millionen-Dollar-Einbruch bei Resolv, ein Verlust von 11 Millionen Dollar bei Verus und ein Schaden von 4 Millionen Dollar bei IoTeX.
Als Nächstes lesen: JaredFromSubway-Bot verliert 7,5 Mio. $, nachdem er auf seine eigene Falle hereinfällt