Seorang penyerang menguras sekitar $4,67 juta dari jembatan Secret (SCRT) yang terhubung ke Axelar (AXL), dengan mengeksploitasi kontrak cacat yang mencetak token tanpa jaminan dari ketiadaan.
Poin-Poin Utama:
- Kontrak Secret Network yang cacat memungkinkan penyerang mencetak token tanpa jaminan, menguras sekitar $4,67 juta.
- Pencurian tersembunyi selama tujuh hari hingga transfer gagal mengungkap escrow yang kosong.
- Axelar menonaktifkan koneksi yang terdampak dan menyatakan protokol intinya tidak tersentuh.
Jembatan Secret Network Kehilangan Jutaan Dolar
Pencurian dimulai pada 10 Juni namun tidak terdeteksi selama tujuh hari, karena Secret mengenkripsi saldo secara bawaan dan kolateral yang hilang tidak pernah muncul di chain. Masalah baru muncul pada 17 Juni, ketika transfer lintas-chain rutin gagal karena akun escrow telah kosong. Penyelidik kemudian menelusuri kekurangan tersebut ke tujuh penarikan mencurigakan yang dilakukan pada hari pertama.
Axelar mengonfirmasi kerugian itu pada 19 Juni dan menonaktifkan koneksi Secret dan Secret-SNIP yang terdampak dalam hitungan jam, sambil menegaskan bahwa protokol inti mereka tidak tersentuh. Tim menyatakan telah menghubungi bursa dan penegak hukum untuk melacak dana, sekitar $672.000 di antaranya masih belum tersentuh di wallet utama penyerang.
Juga Baca: Eksodus ETF Bitcoin Pecahkan Rekor $6,35 Miliar, Namun Aksi Jual Panik Mulai Mereda
Cacat Infinite-Mint Menipu Kontrak
Kontrak yang rentan tersebut mencetak aset terjembatani yang dibungkus Secret, tetapi tidak pernah memverifikasi dari kanal mana setoran sebenarnya berasal, hanya mencocokkan nama token dengan daftar yang disetujui.
Firma riset Common Prefix menerbitkan laporan postmortem yang memetakan bagaimana satu celah itu merembet. Karena jaringan menyembunyikan transfer secara bawaan, melacak penyerang terbukti jauh lebih sulit dibanding pada buku besar publik yang sepenuhnya transparan.
Untuk mengeksploitasinya, penyerang membangun sebuah chain dengan satu validator, membuka kanal tidak resmi, dan secara mandiri me-relay paket palsu yang membawa nama token yang diambil langsung dari allow-list.
Kontrak menerimanya dan mencetak token asli yang dapat ditebus tanpa ada jaminan apa pun di belakangnya.
Menebus token palsu itu melalui kanal asli kemudian mengosongkan escrow pada tujuh aset wrapped. Cacat ini bukan hal baru, dan firma tersebut melaporkan bahwa logika yang sama telah ada di dalam kode sejak 2023 dan tetap bertahan melewati migrasi Maret 2026. Secret menambahkan bahwa tidak ada audit eksternal yang diminta ketika jembatan itu pertama kali dibangun.
Jembatan Cross-Chain Tetap Rentan
Dana curian dipindahkan melalui Osmosis, ditukar menjadi Ether (ETH) di bursa terdesentralisasi, dan disebar ke puluhan wallet baru sebelum akhirnya masuk ke tiga bursa terpusat. Respons pasar yang lebih luas tetap tenang, dengan token Axelar turun sekitar 2,2% pada hari itu dan Secret nyaris tidak berubah.
Meski begitu, kerugian ini memperpanjang tahun yang brutal bagi infrastruktur lintas-chain. Jembatan yang dibangun dengan desain kunci-dan-cetak serupa tetap menjadi permukaan serangan yang paling sering dieksploitasi di kripto, dengan cacat sejenis menghabiskan lebih dari $340 juta di seluruh industri pada 2026. Korban tersebut termasuk pelanggaran $25 juta di Resolv, kerugian $11 juta di Verus, dan kerugian $4 juta di IoTeX.
Baca Selanjutnya: Bot JaredFromSubway Kehilangan $7,5 Juta Setelah Terjebak Perangkapnya Sendiri