攻撃者は、Axelar (AXL) と連携する Secret (SCRT) ブリッジから約467万ドルを吸い上げた。原因は、裏付け資産なしでトークンをミントできてしまう欠陥コントラクトだった。
重要ポイント:
- 欠陥のあるSecret Networkコントラクトにより、攻撃者は裏付けのないトークンをミントし、約467万ドルを流出させた。
- この窃取は7日間発覚せず、送金失敗でエスクローの空状態が露見するまで隠れていた。
- Axelarは影響を受けた接続を停止し、中核プロトコルには一切手が触れられていないと強調した。
Secret Networkブリッジで数百万ドルが消失
窃取は6月10日に始まったが、Secretがデフォルトで残高を暗号化しているため、担保不足がオンチェーンに現れず、7日間気づかれなかった。6月17日になって、通常のクロスチェーン送金がエスクロー残高不足で失敗し、ようやく問題が浮上した。調査の結果、初日に行われた7件の不審な出金に不足分がたどり着いた。
Axelarは6月19日に損失を確認し、数時間以内に影響を受けたSecretおよびSecret-SNIP接続を停止、中核プロトコルには一切侵害がなかったと強調した。チームは取引所および法執行機関に連絡し資金追跡を進めており、約67万2,000ドルは依然として攻撃者のメインウォレットに手つかずで残っているという。
関連記事: ビットコインETF流出額が過去最大の63.5億ドルに、ただしパニック売りは沈静化の兆し
無限ミントの欠陥がコントラクトを欺いた
問題のコントラクトは、ブリッジされた資産のSecretラップド版をミントする役割だったが、「どのチャネルから入金されたか」を検証せず、承認リストとトークン名を突き合わせるだけだった。
調査会社 Common Prefix は、この単一の抜けがどう崩壊につながったかを示すポストモーテムを公開している。ネットワークがデフォルトで送金内容を秘匿するため、完全公開型のパブリックレジャーに比べ、攻撃者のトレースははるかに困難になった。
攻撃者はこれを悪用するため、バリデータ1台だけのチェーンを立ち上げ、未承認チャネルを開設し、許可リストからそのまま拝借したトークン名を載せた偽パケットを自前でリレーした。
コントラクトはそれらを受け入れ、裏付け資産が一切ないにもかかわらず、実際に償還可能なトークンをミントしてしまった。
その偽トークンを正規チャネル経由で償還すると、ラップド資産7種類のエスクローが次々と空になった。この欠陥は新しいものではなく、同社の報告によれば、2023年から同じロジックがコード内に存在し、2026年3月のマイグレーションも生き残っていた。Secret側は、ブリッジ構築時に外部監査を依頼していなかったことも明かしている。
クロスチェーンブリッジの脆弱性は続く
盗まれた資金はまずOsmosisを経由し、分散型取引所で Ether (ETH) にスワップされた後、数十の新規ウォレットに分散され、最終的に3つの中央集権型取引所へと送られた。市場全体の反応は限定的で、Axelarトークンは当日約2.2%下落、Secretはほぼ横ばいにとどまった。
それでも、この損失はクロスチェーンインフラにとって厳しい1年をさらに象徴するものとなった。類似のロック&ミント設計のブリッジは依然として暗号資産で最も狙われる攻撃面であり、同種の欠陥により、2026年には業界全体で3億4,000万ドル超の損失が発生している。被害には、Resolvでの2,500万ドル流出、Verusでの1,100万ドル損失、IoTeXへの400万ドルの打撃などが含まれる。