Een aanvaller heeft ongeveer $4,67 miljoen leeggetrokken uit een Secret (SCRT)-brug die is gekoppeld aan Axelar (AXL), door misbruik te maken van een foutief contract dat onbelegde tokens uit het niets mintte.
Belangrijkste punten:
- Een fout in een Secret Network-contract liet een aanvaller onbelegde tokens minten, waardoor ongeveer $4,67 miljoen werd leeggetrokken.
- De diefstal bleef zeven dagen verborgen tot een mislukte transfer de lege escrow aan het licht bracht.
- Axelar schakelde de getroffen verbindingen uit en stelde dat het kernprotocol nooit is aangeraakt.
Secret Network-brug verliest miljoenen
De diefstal begon op 10 juni maar bleef zeven dagen onopgemerkt, omdat Secret saldi standaard versleutelt en het ontbrekende onderpand niet on-chain verscheen. De zaak kwam pas aan het licht op 17 juni, toen een routinematige cross-chain-transfer mislukte omdat de escrow-account leeg was. Onderzoekers herleidden het tekort vervolgens naar zeven verdachte opnames die op de openingsdag waren gedaan.
Axelar bevestigde het verlies op 19 juni en schakelde binnen enkele uren de getroffen Secret- en Secret-SNIP-verbindingen uit, terwijl het benadrukte dat het kernprotocol nooit is aangeraakt. Het team meldde dat het beurzen en opsporingsdiensten heeft ingeschakeld om de middelen te traceren, waarvan ongeveer $672.000 nog steeds onaangeroerd in de hoofdwallet van de aanvaller staat.
Ook lezen: Bitcoin-ETF-exodus bereikt record van $6,35 miljard, maar paniekverkopen lijken af te koelen
Oneindig-mint-fout misleidde het contract
Het kwetsbare contract mintte door Secret gewrapte kopieën van gebrugde activa, maar controleerde nooit via welk kanaal een storting werkelijk binnenkwam; het matchete alleen de naam van een token met een goedgekeurde lijst.
Onderzoeksbureau Common Prefix publiceerde een post-mortem waarin in kaart wordt gebracht hoe dat ene gat alles onderuit haalde. Omdat het netwerk transfers standaard verbergt, bleek het traceren van de aanvaller veel lastiger dan het op een volledig transparant publiek grootboek zou zijn geweest.
Om dit uit te buiten zette de aanvaller een chain op met één validator, opende een ongeautoriseerd kanaal en relayde zelf vervalste pakketten met tokennamen die rechtstreeks van de allowlist waren overgenomen.
Het contract accepteerde ze en mintte echte, inwisselbare tokens zonder enig onderpand erachter.
Door deze valse tokens via het echte kanaal te verzilveren, werd de escrow voor zeven gewrapte activa leeggetrokken. De fout was niet nieuw, en het bureau meldde dat dezelfde logica sinds 2023 in de code stond en een migratie in maart 2026 had overleefd. Secret voegde eraan toe dat er geen externe audit is aangevraagd toen de brug oorspronkelijk werd gebouwd.
Cross-chain-bruggen blijven kwetsbaar
De gestolen fondsen bewogen via Osmosis, werden op een gedecentraliseerde exchange omgeruild naar Ether (ETH) en verspreidden zich over tientallen nieuwe wallets voordat ze uiteindelijk drie gecentraliseerde beurzen bereikten. De bredere marktreactie bleef beperkt: de token van Axelar daalde die dag met ongeveer 2,2%, terwijl Secret vrijwel vlak bleef.
Toch verlengt dit verlies een meedogenloos jaar voor cross-chain-infrastructuur. Bruggen die op vergelijkbare lock-and-mint-ontwerpen zijn gebaseerd, blijven het meest uitgebuite oppervlak in crypto, met vergelijkbare fouten die de sector in 2026 meer dan $340 miljoen kosten. De tol omvat een inbreuk van $25 miljoen bij Resolv, een verlies van $11 miljoen bij Verus en een klap van $4 miljoen voor IoTeX.
Lees hierna: JaredFromSubway-bot verliest $7,5 miljoen nadat hij in zijn eigen val trapt