Un attaquant a drainé environ 4,67 millions de dollars d’un pont Secret (SCRT) relié à Axelar (AXL), en exploitant un contrat défaillant qui frappait des jetons non garantis à partir de rien.
Points clés :
- Un contrat défaillant de Secret Network a permis à un attaquant de frapper des jetons non garantis, vidant environ 4,67 millions de dollars.
- Le vol est resté caché pendant sept jours jusqu’à ce qu’un transfert échoué révèle l’escrow vide.
- Axelar a désactivé les connexions affectées et a affirmé que son protocole central n’avait jamais été touché.
Le pont de Secret Network perd des millions
Le vol a commencé le 10 juin mais est passé inaperçu pendant sept jours, car Secret chiffre les soldes par défaut et la garantie manquante n’apparaissait pas on-chain. Il n’a été découvert que le 17 juin, lorsqu’un transfert inter-chaînes de routine a échoué parce que le compte d’escrow était à sec. Les enquêteurs ont ensuite retracé le déficit jusqu’à sept retraits suspects effectués le jour d’ouverture.
Axelar a confirmé la perte le 19 juin et a désactivé les connexions Secret et Secret-SNIP affectées en quelques heures, tout en soulignant que son protocole de base n’avait jamais été touché. L’équipe a indiqué avoir contacté des plateformes d’échange et les forces de l’ordre pour tracer les fonds, dont environ 672 000 $ restent toujours intacts dans le portefeuille principal de l’attaquant.
À lire aussi : Exode record de 6,35 Mds $ des ETF Bitcoin, mais la vente de panique pourrait se calmer
Une faille de frappe infinie a trompé le contrat
Le contrat vulnérable frappait des copies « wrappées » sur Secret d’actifs pontés, mais ne vérifiait jamais par quel canal un dépôt provenait réellement, faisant seulement correspondre le nom d’un jeton à une liste approuvée.
La société de recherche Common Prefix a publié un rapport post-mortem expliquant comment cette seule lacune a tout fait dérailler. Comme le réseau masque les transferts par défaut, retracer l’attaquant s’est avéré bien plus difficile que sur un registre public entièrement transparent.
Pour exploiter la faille, l’attaquant a lancé une chaîne avec un seul validateur, ouvert un canal non autorisé et auto-relayé de faux paquets portant des noms de jetons directement repris de la liste blanche.
Le contrat les a acceptés et a frappé de vrais jetons échangeables, sans aucune garantie derrière.
En rachetant ces faux jetons via le canal légitime, l’attaquant a ensuite vidé l’escrow sur sept actifs wrappés. La faille n’était pas nouvelle, et la société a rapporté que la même logique était présente dans le code depuis 2023 et avait survécu à une migration de mars 2026. Secret a ajouté qu’aucun audit externe n’avait été demandé lors de la construction initiale du pont.
Les ponts inter-chaînes restent vulnérables
Les fonds volés ont transité par Osmosis, ont été échangés en Ether (ETH) sur un exchange décentralisé, puis dispersés dans des dizaines de nouveaux portefeuilles avant de finir sur trois plateformes centralisées. La réaction du marché plus large est restée limitée, le jeton d’Axelar ne perdant qu’environ 2,2 % sur la journée et celui de Secret restant quasiment stable.
Malgré tout, cette perte s’ajoute à une année brutale pour les infrastructures inter-chaînes. Les ponts construits sur des modèles similaires de verrouillage-et-frappe restent la surface la plus exploitée en crypto, des failles comparables ayant coûté plus de 340 millions de dollars à l’ensemble du secteur en 2026. Le bilan comprend une faille de 25 millions de dollars chez Resolv, une perte de 11 millions chez Verus et un impact de 4 millions chez IoTeX.
À lire ensuite : Le bot JaredFromSubway perd 7,5 M$ après avoir mordu à son propre piège