Un aggressore ha prosciugato circa 4,67 milioni di dollari da un bridge di Secret (SCRT) collegato ad Axelar (AXL), sfruttando un contratto difettoso che coniava token non garantiti dal nulla.
Punti chiave:
- Un contratto difettoso su Secret Network ha permesso a un aggressore di coniare token senza copertura, prosciugando circa 4,67 milioni di dollari.
- Il furto è rimasto nascosto per sette giorni, finché un trasferimento fallito non ha rivelato l’escrow vuoto.
- Axelar ha disabilitato le connessioni interessate e ha dichiarato che il suo protocollo core non è mai stato toccato.
Il bridge di Secret Network perde milioni
Il furto è iniziato il 10 giugno ma è rimasto inosservato per sette giorni, poiché Secret cifra i saldi per impostazione predefinita e la garanzia mancante non compariva on-chain. È emerso solo il 17 giugno, quando un trasferimento cross-chain di routine è fallito perché l’account di escrow era a secco. Gli investigatori hanno poi ricondotto la mancanza a sette prelievi sospetti effettuati il giorno di apertura.
Axelar ha confermato la perdita il 19 giugno e ha disabilitato nel giro di poche ore le connessioni Secret e Secret-SNIP interessate, sottolineando che il suo protocollo core non è mai stato toccato. Il team ha dichiarato di aver contattato exchange e forze dell’ordine per tracciare i fondi, circa 672.000 dollari dei quali si trovano ancora inattivi nel wallet principale dell’attaccante.
Leggi anche: Esodo dagli ETF Bitcoin a record di 6,35 miliardi di dollari, ma il panic selling potrebbe rallentare
Il bug di conio infinito ha ingannato il contratto
Il contratto vulnerabile coniava copie wrappate su Secret degli asset bridgati ma non verificava mai da quale canale provenisse effettivamente un deposito, controllando solo che il nome del token fosse presente in una lista approvata.
La società di ricerca Common Prefix ha pubblicato un’analisi post mortem che mostra come quella singola lacuna abbia fatto crollare tutto. Poiché la rete nasconde i trasferimenti per impostazione predefinita, rintracciare l’attaccante si è rivelato molto più difficile rispetto a quanto sarebbe stato su un registro pubblico completamente trasparente.
Per sfruttare il bug, l’attaccante ha avviato una chain con un solo validatore, aperto un canale non autorizzato e auto-instradato pacchetti falsificati contenenti nomi di token presi direttamente dalla allow-list.
Il contratto li ha accettati e ha coniato token reali e riscattabili senza alcuna copertura alle spalle.
Riscattando poi quei falsi attraverso il canale legittimo, l’attaccante ha svuotato l’escrow su sette asset wrappati. Il bug non era nuovo, e la società ha riportato che la stessa logica era presente nel codice dal 2023 ed era sopravvissuta a una migrazione del marzo 2026. Secret ha aggiunto che non era stato richiesto alcun audit esterno quando il bridge fu costruito per la prima volta.
I bridge cross-chain restano esposti
I fondi rubati sono passati attraverso Osmosis, convertiti in Ether (ETH) su un exchange decentralizzato e dispersi in decine di nuovi wallet prima di approdare infine a tre exchange centralizzati. La reazione del mercato più ampio è rimasta contenuta, con il token di Axelar in calo di circa il 2,2% nella giornata e Secret quasi invariato.
Tuttavia, la perdita si aggiunge a un anno brutale per le infrastrutture cross-chain. I bridge basati su design di tipo lock-and-mint restano la superficie più sfruttata nel crypto, con vulnerabilità simili che sono costate oltre 340 milioni di dollari nel settore nel 2026. Il conto include una violazione da 25 milioni di dollari su Resolv, una perdita da 11 milioni su Verus e un danno da 4 milioni su IoTeX.
Da leggere dopo: Il bot JaredFromSubway perde 7,5 milioni di dollari cadendo nella propria trappola