Stagioni
Classifica
Notizie
Impara
Ricerca
Classifica
Ecosistema
Portafoglio

L’hack da 4,67 milioni di dollari sul bridge di Secret Network è iniziato con un solo controllo mancante

profile-mehjabeen-arsiwala
Mehjabeen Arsiwala11 ore fa
#Hacker #Secret Network
L’hack da 4,67 milioni di dollari sul bridge di Secret Network è iniziato con un solo controllo mancante

Un attaccante ha drenato circa 4,67 milioni di dollari da un bridge di Secret (SCRT) collegato ad Axelar (AXL), sfruttando un contratto difettoso che ha mintato token non garantiti dal nulla.

Punti chiave:

  • Un contratto difettoso di Secret Network ha permesso a un attaccante di mintare token senza copertura, drenando circa 4,67 milioni di dollari.
  • Il furto è rimasto nascosto per sette giorni finché un trasferimento fallito non ha rivelato l’escrow vuoto.
  • Axelar ha disabilitato le connessioni interessate e ha dichiarato che il suo protocollo core non è mai stato toccato.

Il bridge di Secret Network perde milioni

Il furto è iniziato il 10 giugno ma è rimasto inosservato per sette giorni, poiché Secret cifra i saldi di default e la collateralizzazione mancante non compariva on‑chain. È emerso solo il 17 giugno, quando un normale trasferimento cross‑chain è fallito perché l’account di escrow si era prosciugato. Gli investigatori hanno poi ricondotto il deficit a sette prelievi sospetti effettuati il giorno di apertura.

Axelar ha confermato la perdita il 19 giugno e ha disabilitato nel giro di poche ore le connessioni Secret e Secret‑SNIP interessate, sottolineando che il suo protocollo core non è mai stato toccato. Il team ha affermato di aver contattato exchange e forze dell’ordine per tracciare i fondi, circa 672.000 dollari dei quali si trovano ancora intatti nel wallet principale dell’attaccante.

Da leggere anche: Esodo dagli ETF su Bitcoin tocca il record di 6,35 miliardi di dollari, ma il panic selling potrebbe rallentare

Il bug di mint infinito ha ingannato il contratto

Il contratto vulnerabile mintava copie wrappate su Secret degli asset bridgiati, ma non verificava mai da quale canale provenisse davvero un deposito, limitandosi ad abbinare solo il nome del token a una lista approvata.

La società di ricerca Common Prefix ha pubblicato un post‑mortem che mostra come quella singola lacuna abbia fatto crollare tutto. Poiché la rete nasconde i trasferimenti di default, tracciare l’attaccante si è rivelato molto più difficile di quanto sarebbe stato su un registro pubblico completamente trasparente.

Per sfruttare il bug, l’attaccante ha avviato una chain con un solo validatore, aperto un canale non autorizzato e auto‑inoltrato pacchetti falsificati che trasportavano nomi di token copiati direttamente dalla allow‑list.

Il contratto li ha accettati e ha mintato token reali e riscattabili senza alcuna copertura a sostegno.

Riscattando quei token falsi tramite il canale genuino è stato poi svuotato l’escrow su sette asset wrappati. Il difetto non era nuovo, e la società ha riportato che la stessa logica era presente nel codice dal 2023 ed è sopravvissuta a una migrazione del marzo 2026. Secret ha aggiunto che non era stato richiesto alcun audit esterno quando il bridge è stato costruito per la prima volta.

I bridge cross‑chain restano esposti

I fondi rubati sono transitati su Osmosis, convertiti in Ether (ETH) su un exchange decentralizzato e dispersi in decine di nuovi wallet prima di arrivare infine a tre exchange centralizzati. La reazione del mercato più ampio è rimasta contenuta, con il token di Axelar in calo di circa il 2,2% nella giornata e Secret quasi invariato.

Ciononostante, la perdita prolunga un anno durissimo per l’infrastruttura cross‑chain. I bridge basati su design di tipo lock‑and‑mint restano la superficie più sfruttata nel mondo crypto, con vulnerabilità simili che sono costate oltre 340 milioni di dollari nel 2026 a livello di settore. Il conto include una violazione da 25 milioni di dollari su Resolv, una perdita da 11 milioni su Verus e un danno da 4 milioni su IoTeX.

Da leggere dopo: Il bot JaredFromSubway perde 7,5 milioni di dollari cadendo nella sua stessa trappola

Disclaimer e avvertenza sui rischi: Le informazioni fornite in questo articolo sono solo per scopi educativi e informativi e sono basate sull'opinione dell'autore. Non costituiscono consulenza finanziaria, di investimento, legale o fiscale. Gli asset di criptovaluta sono altamente volatili e soggetti ad alto rischio, incluso il rischio di perdere tutto o una parte sostanziale del tuo investimento. Il trading o il possesso di asset crypto potrebbe non essere adatto a tutti gli investitori. Le opinioni espresse in questo articolo sono esclusivamente quelle dell'autore/autori e non rappresentano la politica ufficiale o la posizione di Yellow, dei suoi fondatori o dei suoi dirigenti. Conduci sempre la tua ricerca approfondita (D.Y.O.R.) e consulta un professionista finanziario autorizzato prima di prendere qualsiasi decisione di investimento.
Notizie correlate
Il bridge Verus-Ethereum perde 11 milioni di dollari in un nuovo attacco cross-chain
May 18, 2026
Un attacco al bridge Verus-Ethereum ha svuotato tBTC, ETH e USDC per oltre 11 milioni di dollari, evidenziando ancora una volta i rischi dei bridge cross-chain.
Alephium indica un difetto off‑chain, non chiavi rubate, come causa del breach da 815.000 $
Aggressori sfruttano un difetto backend off‑chain nel TokenBridge di Alephium, drenano 815.000 $ in pochi minuti; il team promette il rimborso degli utenti.
Aztec Connect perde 2,1 milioni di dollari in un exploit di un contratto zombie congelato da 3 anni
Jun 15, 2026
Attacco ad Aztec Connect: sfruttato un vecchio contratto di verifica congelato, sottratti oltre 2,1 milioni di dollari da un protocollo chiuso da tre anni.
Hacker di Verus Bridge restituisce 8,5 milioni di dollari in accordo di bounty negoziato
May 22, 2026
L'hacker del bridge Verus ha restituito 4.052 ETH (8,5 milioni $), tenendo 1.350 ETH come bounty, riaccendendo il dibattito sulla sicurezza DeFi.
Exploit del bridge Polkadot consente all'attaccante di mintare 1 miliardo di token DOT su Ethereum
Apr 13, 2026
Exploit su bridge cross-chain di Polkadot su Ethereum: mintati 1 miliardo di DOT bridge, venduti per ETH, prezzo del token bridge crollato quasi a zero.
Ricerche correlate
I bridge cross-chain continuano a essere svuotati: perché tutti continuano a usarli?
Analisi dei rischi dei bridge cross-chain, responsabili del 42% delle perdite da exploit a maggio 2026, e delle principali soluzioni in fase di sviluppo.
I più grandi exploit cripto del 2025–2026: che cosa è andato davvero storto
Analisi dei più grandi exploit cripto 2025–2026, cause ricorrenti, bug, furti di chiavi e punti di fiducia concentrata che hanno amplificato i danni.
La crisi della sicurezza del Web3 nel 2026: perché i più grandi hack non sono più solo bug degli smart contract
Nel 2026 le perdite maggiori derivano da falle operative e infrastrutturali, mentre i bug degli smart contract restano ma con impatto medio inferiore.
Lazarus e l’hack di Kelp: come la macchina dei colpi cripto della Corea del Nord continua a evolversi
LayerZero attribuisce a Lazarus il furto di 292M$ da Kelp DAO, segno che gli attacchi di Stato restano oggi la minaccia principale alla sicurezza cripto.
Claude Mythos e crypto: cosa significa la nuova minaccia dell’IA per il trading
Claude Mythos scopre migliaia di vulnerabilità zero‑day, aumentando il rischio per exchange, DeFi e infrastrutture crypto a mercato aperto e regolamento irreversibile.
Guide correlate
7 segnali di allarme di frodi crypto che l’industria delle truffe da 17 miliardi di dollari spera tu non noti
Mar 16, 2026
Guida ai 7 principali schemi di truffa crypto nel 2026, con casi reali e segnali di allarme concreti per riconoscerli prima di perdere soldi.
CEX vs DEX vs exchange ibrido: quale è davvero giusto per te?
CEX, DEX e ibridi a confronto: sicurezza, costi, privacy e controllo sui fondi per scegliere la soluzione più adatta ai tuoi obiettivi nel 2026.
Le 10 cose più importanti da sapere prima di fare trading su una DEX
10 concetti chiave per fare trading in sicurezza su una DEX: slippage, MEV, sicurezza del wallet, approvazioni dei token, liquidità e rischi nascosti.
Proteggi il Tuo Conto su Exchange di Criptovaluta: Strategie di Sicurezza Avanzate Spiegate
Approfondimento sulle strategie psicologiche, tattiche evolute e casi di studio riguardanti la minaccia persistente dei social engineering nel mondo delle criptovalute.
Quali Sono gli Strumenti DAO e Come Scegliere? Guida alla Piattaforma 2025 per la Governance e la Gestione del Tesoro
Guida agli strumenti DAO nel 2025: piattaforme come Snapshot e Tally, gestione del tesoro, sicurezza e strategie di attuazione.
L’hack da 4,67 milioni di dollari sul bridge di Secret Network è iniziato con un solo controllo mancante | Yellow.com