공격자는 Axelar (AXL)와 연동된 Secret (SCRT) 브리지의 취약한 컨트랙트를 악용해, 아무 담보 없이 토큰을 발행해낸 뒤 총 약 467만 달러를 탈취했다.
핵심 포인트:
- 결함이 있는 Secret Network 컨트랙트로 인해 공격자가 무담보 토큰을 발행해 약 467만 달러를 빼갔다.
- 에스크로 계정이 고갈되기 전까지 7일 동안 도난 사실이 드러나지 않았다.
- Axelar는 해당 연결을 비활성화하며, 코어 프로토콜은 손상되지 않았다고 밝혔다.
Secret Network 브리지, 수백만 달러 손실
도난은 6월 10일에 시작됐지만 7일 동안 아무도 눈치채지 못했다. Secret는 기본적으로 잔액을 암호화하기 때문에, 빠져나간 담보가 온체인에 보이지 않았기 때문이다. 사건은 6월 17일에야 드러났다. 정기적인 크로스체인 전송이 시도됐지만, 에스크로 계정이 바닥나 실패하면서였다. 조사팀은 이후 부족분을 추적해, 첫날에 이뤄진 7건의 의심스러운 출금으로 거슬러 올라갔다.
Axelar는 6월 19일 손실을 공식 확인하고, 몇 시간 안에 문제의 Secret 및 Secret-SNIP 연결을 비활성화했다. 이 과정에서 코어 프로토콜 자체는 전혀 침해되지 않았다고 거듭 강조했다. 팀은 거래소와 법 집행 기관에 협조를 요청해 자금 추적에 나섰으며, 약 67만 2,000달러는 여전히 공격자의 메인 지갑에 손대지 않은 채 남아 있다고 설명했다.
또한 읽기: 비트코인 ETF 자금 유출, 사상 최대 6.35억 달러… 공포성 매도는 진정 기미
무한 발행 버그가 컨트랙트를 속였다
취약한 컨트랙트는 브리지를 통해 들어오는 자산을 Secret에서 래핑된 토큰으로 발행하는 역할을 했다. 하지만 실제 입금이 어떤 채널에서 왔는지 제대로 검증하지 않고, 단지 토큰 이름이 승인된 목록에 있는지만 확인했다.
리서치 업체 Common Prefix는 이 단 하나의 빈틈이 어떻게 사태를 키웠는지에 대한 부검 보고서를 발표했다. Secret Network는 기본적으로 전송 내역을 숨기기 때문에, 완전히 투명한 퍼블릭 레저였더라면 훨씬 쉬웠을 추적 작업이 크게 어려워졌다고 지적했다.
공격자는 이를 악용하기 위해 단일 밸리데이터로 구성된 체인을 직접 띄우고, 승인되지 않은 채널을 연 뒤, 허용 목록에서 그대로 가져온 토큰 이름을 실은 위조 패킷을 스스로 릴레이했다.
컨트랙트는 이를 받아들이고, 아무 담보도 없이 실제로 상환 가능한 토큰을 발행해주었다.
이후 공격자는 정식 채널을 통해 이 가짜 토큰들을 상환해, 7종의 래핑 자산에 걸친 에스크로를 비워버렸다. 이 취약점은 새로 생긴 문제가 아니었고, 리서치 업체는 같은 로직이 2023년부터 코드에 존재했으며 2026년 3월의 마이그레이션도 그대로 통과했다고 보고했다. Secret 측은 브리지가 처음 구축될 당시 외부 보안 감사는 요청되지 않았다고 덧붙였다.
크로스체인 브리지의 상존 위험
도난당한 자금은 먼저 Osmosis를 거쳐, 탈중앙화 거래소에서 Ether (ETH)로 교환된 뒤, 수십 개의 신규 지갑으로 흩어졌다가 최종적으로 세 곳의 중앙화 거래소로 이동했다. 시장의 전반적 반응은 비교적 잠잠했다. Axelar 토큰은 당일 약 2.2% 하락하는 데 그쳤고, Secret 가격은 거의 변동이 없었다.
그럼에도 이번 손실은 크로스체인 인프라에 특히 가혹했던 한 해를 더 악화시키고 있다. 유사한 ‘락 앤 민트(lock-and-mint)’ 구조로 설계된 브리지는 여전히 암호화폐 업계에서 가장 많이 공격받는 표면 중 하나다. 2026년 한 해 동안만도 이와 비슷한 취약점으로 업계 전반에서 3억 4,000만 달러 이상이 사라졌다. 여기에는 Resolv의 2,500만 달러 유출, Verus의 1,100만 달러 손실, IoTeX의 400만 달러 피해 등이 포함된다.