Un attaquant a siphonné environ 4,67 millions de dollars d’un bridge Secret (SCRT) lié à Axelar (AXL), en exploitant un contrat défaillant qui a frappé des jetons non garantis à partir de rien.
Points clés :
- Un contrat défaillant de Secret Network a permis à un attaquant de frapper des jetons non garantis, vidant environ 4,67 millions de dollars.
- Le vol est resté caché pendant sept jours jusqu’à ce qu’un transfert échoué révèle l’escrow vide.
- Axelar a désactivé les connexions affectées et a indiqué que son protocole central n’avait jamais été touché.
Le bridge de Secret Network perd des millions
Le vol a commencé le 10 juin mais est passé inaperçu pendant sept jours, car Secret chiffre les soldes par défaut et le collatéral manquant n’apparaissait pas on-chain. Il n’a émergé que le 17 juin, lorsqu’un transfert inter-chaînes de routine a échoué parce que le compte d’escrow était à sec. Les enquêteurs ont ensuite retracé le manque à sept retraits suspects effectués le jour d’ouverture.
Axelar a confirmé la perte le 19 juin et a désactivé les connexions Secret et Secret-SNIP concernées en quelques heures, tout en soulignant que son protocole central n’avait jamais été touché. L’équipe a déclaré avoir contacté des exchanges et les forces de l’ordre pour tracer les fonds, dont environ 672 000 $ restent encore intacts dans le portefeuille principal de l’attaquant.
À lire aussi : Exode record de 6,35 Mds $ des ETF Bitcoin, mais la vente panique semble se calmer
Une faille d’émission infinie a trompé le contrat
Le contrat vulnérable frappait des copies « Secret-wrapped » d’actifs bridgés, mais ne vérifiait jamais par quel canal un dépôt provenait réellement, se contentant de faire correspondre le nom d’un jeton à une liste approuvée.
La société de recherche Common Prefix a publié un rapport post-mortem expliquant comment cette seule lacune a tout fait s’effondrer. Comme le réseau masque les transferts par défaut, tracer l’attaquant s’est révélé bien plus difficile que sur un registre public entièrement transparent.
Pour l’exploiter, l’attaquant a lancé une chaîne avec un seul validateur, ouvert un canal non autorisé et auto-relayé de faux paquets transportant des noms de jetons copiés directement depuis la liste d’autorisation.
Le contrat les a acceptés et a frappé de vrais jetons échangeables, sans aucune garantie derrière eux.
Le rachat de ces faux jetons via le canal légitime a ensuite vidé l’escrow sur sept actifs « wrapped ». La faille n’était pas nouvelle, et la société a rapporté que la même logique se trouvait dans le code depuis 2023 et avait survécu à une migration de mars 2026. Secret a ajouté qu’aucun audit externe n’avait été demandé lors de la construction initiale du bridge.
Les bridges inter-chaînes restent vulnérables
Les fonds volés ont transité par Osmosis, ont été échangés en Ether (ETH) sur un exchange décentralisé, puis dispersés dans des dizaines de nouveaux portefeuilles avant d’atteindre finalement trois exchanges centralisés. La réaction du marché est restée modérée : le jeton d’Axelar a reculé d’environ 2,2 % sur la journée et Secret est resté presque stable.
Malgré tout, cette perte prolonge une année brutale pour l’infrastructure inter-chaînes. Les bridges reposant sur des modèles similaires de verrouillage et de frappe restent la surface la plus exploitée dans la crypto, des failles comparables ayant coûté plus de 340 millions de dollars au secteur en 2026. Le bilan inclut une brèche de 25 millions de dollars chez Resolv, une perte de 11 millions chez Verus et un impact de 4 millions chez IoTeX.
À lire ensuite : Le bot JaredFromSubway perd 7,5 M$ après avoir mordu à son propre piège