Seorang penyerang menguras sekitar $4,67 juta dari jembatan Secret (SCRT) yang terhubung ke Axelar (AXL), dengan mengeksploitasi kontrak cacat yang mencetak token tanpa jaminan dari ketiadaan.
Poin-Poin Utama:
- Kontrak Secret Network yang cacat memungkinkan penyerang mencetak token tanpa jaminan, menguras sekitar $4,67 juta.
- Pencurian ini tersembunyi selama tujuh hari hingga satu transfer gagal mengungkap escrow yang kosong.
- Axelar menonaktifkan koneksi yang terdampak dan menegaskan protokol intinya tidak tersentuh.
Jembatan Secret Network Kehilangan Jutaan
Pencurian dimulai pada 10 Juni namun tidak disadari selama tujuh hari, karena Secret mengenkripsi saldo secara default dan kolateral yang hilang tidak pernah muncul di chain. Kejadian ini baru muncul pada 17 Juni, ketika sebuah transfer lintas-chain rutin gagal karena akun escrow telah kosong. Penyelidik kemudian menelusuri kekurangan tersebut ke tujuh penarikan mencurigakan yang dilakukan pada hari pertama.
Axelar mengonfirmasi kerugian pada 19 Juni dan menonaktifkan koneksi Secret dan Secret-SNIP yang terdampak dalam hitungan jam, sambil menekankan bahwa protokol intinya tidak tersentuh. Tim menyatakan telah menghubungi bursa dan penegak hukum untuk melacak dana, sekitar $672.000 di antaranya masih tetap tak tersentuh di wallet utama penyerang.
Juga Baca: Eksodus Bitcoin ETF Cetak Rekor $6,35 Miliar, Tapi Jual Panik Mulai Mereda
Cacat “Infinite-Mint” Menipu Kontrak
Kontrak yang rentan tersebut mencetak salinan aset yang dijembatani dalam bentuk Secret-wrapped, namun tidak pernah memverifikasi dari saluran mana setoran itu sebenarnya berasal, hanya mencocokkan nama token dengan daftar yang disetujui.
Firma riset Common Prefix menerbitkan laporan postmortem yang memetakan bagaimana satu celah itu merembet. Karena jaringan menyembunyikan transfer secara default, penelusuran pelaku jauh lebih sulit dibanding di ledger publik yang sepenuhnya transparan.
Untuk mengeksploitasinya, penyerang membuat sebuah chain dengan satu validator, membuka saluran tidak sah, dan mengirim sendiri paket palsu yang membawa nama token yang diambil langsung dari allow-list.
Kontrak menerima paket tersebut dan mencetak token nyata yang dapat ditebus tanpa ada jaminan apa pun di belakangnya.
Menebus token palsu itu melalui saluran asli kemudian mengosongkan escrow pada tujuh aset wrapped. Cacat ini bukan hal baru, dan firma tersebut melaporkan bahwa logika yang sama sudah ada di dalam kode sejak 2023 dan lolos dari migrasi Maret 2026. Secret menambahkan bahwa tidak ada audit eksternal yang diminta ketika jembatan tersebut pertama kali dibangun.
Jembatan Cross-Chain Masih Rentan
Dana yang dicuri dipindahkan melalui Osmosis, ditukar menjadi Ether (ETH) di sebuah bursa terdesentralisasi, dan disebar ke puluhan wallet baru sebelum akhirnya mencapai tiga bursa tersentralisasi. Respons pasar yang lebih luas tetap tenang, dengan token Axelar turun sekitar 2,2% pada hari itu dan Secret nyaris tidak bergerak.
Meski begitu, kerugian ini memperpanjang tahun yang brutal bagi infrastruktur cross-chain. Jembatan yang dibangun dengan desain kunci-dan-cetak serupa tetap menjadi permukaan yang paling sering dieksploitasi di kripto, dengan cacat sejenis mengakibatkan kerugian lebih dari $340 juta di seluruh industri pada 2026. Angka tersebut mencakup pembobolan $25 juta di Resolv, kerugian $11 juta di Verus, dan hantaman $4 juta ke IoTeX.
Baca Selanjutnya: Bot JaredFromSubway Kehilangan $7,5 Juta Setelah Terjebak Umpannya Sendiri