한 공격자가 Axelar (AXL)와 연결된 Secret (SCRT) 브리지를 노려, 결함이 있는 컨트랙트를 악용해 담보 없이 토큰을 발행하고 약 467만 달러를 유출했다.
핵심 포인트:
- 결함이 있는 Secret Network 컨트랙트가 공격자에게 담보 없는 토큰 발행을 허용해 약 467만 달러가 빠져나갔다.
- 탈취는 7일 동안 숨겨져 있다가 실패한 이체를 통해 비어 있는 에스크로가 드러나며 밝혀졌다.
- Axelar는 영향을 받은 연결을 비활성화하고, 코어 프로토콜은 손대지 않았다고 밝혔다.
Secret Network 브리지, 수백만 달러 손실
탈취는 6월 10일에 시작됐지만 Secret가 기본적으로 잔액을 암호화하고 있어 부족해진 담보가 온체인에 드러나지 않으면서 7일 동안 눈치채지 못했다. 6월 17일에야 정기적인 크로스체인 전송이 에스크로 계정 잔액 부족으로 실패하면서 문제가 표면화됐다. 이후 조사팀은 개시일에 발생한 일곱 건의 의심스러운 출금으로 부족분을 추적했다.
Axelar는 6월 19일 손실을 확인했고, 몇 시간 내에 영향을 받은 Secret 및 Secret-SNIP 연결을 비활성화하면서 코어 프로토콜에는 전혀 접근이 없었다고 강조했다. 팀은 자금 추적을 위해 거래소 및 사법 당국에 연락했으며, 약 67만 2천 달러는 여전히 공격자의 메인 지갑에 손대지 않은 채 남아 있다고 밝혔다.
관련 기사: 비트코인 ETF 자금 이탈, 기록적 63억5천만 달러… 공포 매도는 진정세 조짐
무한 발행 결함이 컨트랙트를 속였다
취약한 컨트랙트는 브리지를 통해 들어오는 자산을 Secret 래핑 토큰으로 발행하면서, 예치가 실제로 어떤 채널에서 왔는지 검증하지 않고 토큰 이름만 승인 목록과 대조했다.
리서치 업체 Common Prefix는 이 단 한 가지 허점이 어떻게 사태를 키웠는지 정리한 부검 보고서를 발표했다. 네트워크가 기본적으로 전송을 숨기기 때문에, 완전히 투명한 퍼블릭 레저였다면 훨씬 쉬웠을 공격자 추적이 한층 어려워졌다.
공격자는 이를 악용하기 위해 단일 밸리데이터로 구성된 체인을 띄우고, 승인되지 않은 채널을 연 뒤, 허용 목록에서 그대로 가져온 토큰 이름을 실은 위조 패킷을 스스로 릴레이했다.
컨트랙트는 이 패킷들을 그대로 받아들이고, 그 어떤 담보도 없이 실제로 상환 가능한 토큰을 발행했다.
이후 공격자는 진짜 채널을 통해 이 가짜 토큰을 상환해 일곱 개의 래핑 자산 에스크로를 말끔히 비워냈다. 이 결함은 새로운 것이 아니며, 리서치 업체는 동일한 로직이 2023년부터 코드에 존재해 왔고 2026년 3월 마이그레이션도 무사히 통과했다고 보고했다. Secret 측은 브리지가 처음 구축될 당시 외부 감사를 의뢰하지 않았다고 덧붙였다.
크로스체인 브리지는 여전히 취약하다
탈취된 자금은 Osmosis를 거쳐 탈중앙화 거래소에서 Ether (ETH)로 스왑된 뒤 수십 개의 신규 지갑으로 흩어졌고, 최종적으로 세 곳의 중앙화 거래소에 도달했다. 시장 전반의 반응은 잠잠했으며, Axelar 토큰은 당일 약 2.2% 하락하는 데 그쳤고 Secret는 거의 횡보세를 유지했다.
그럼에도 이번 손실은 크로스체인 인프라에 힘든 한 해를 추가로 더했다. 유사한 락-앤-민트(lock-and-mint) 구조 위에 세워진 브리지들은 여전히 크립토 업계에서 가장 많이 노려지는 공격 표면으로 남아 있으며, 비슷한 결함으로 2026년 한 해에만 업계 전체에서 3억4천만 달러 이상이 손실됐다. 여기에는 Resolv의 2,500만 달러 유출, Verus의 1,100만 달러 손실, IoTeX의 400만 달러 피해가 포함된다.