Een aanvaller heeft ongeveer $4,67 miljoen buitgemaakt via een Secret-brug (SCRT) die was gekoppeld aan Axelar (AXL), door misbruik te maken van een fout contract dat ongedekte tokens uit het niets mintte.
Belangrijkste punten:
- Een foutief Secret Network-contract liet een aanvaller ongedekte tokens minten en zo ongeveer $4,67 miljoen wegsluizen.
- De diefstal bleef zeven dagen verborgen tot een mislukte transfer de lege escrow blootlegde.
- Axelar schakelde de getroffen verbindingen uit en stelde dat het kernprotocol nooit is aangeraakt.
Secret Network-brug verliest miljoenen
De diefstal begon op 10 juni maar bleef zeven dagen onopgemerkt, omdat Secret saldi standaard versleutelt en het ontbrekende onderpand nooit on-chain verscheen. De zaak kwam pas aan het licht op 17 juni, toen een routinematige cross-chain transfer mislukte omdat de escrow-rekening leeg was. Onderzoekers herleidden het tekort vervolgens tot zeven verdachte opnames die op de openingsdag waren gedaan.
Axelar bevestigde het verlies op 19 juni en schakelde binnen enkele uren de getroffen Secret- en Secret-SNIP-verbindingen uit, terwijl het benadrukte dat het kernprotocol nooit is aangeraakt. Het team zei dat het beurzen en opsporingsdiensten heeft benaderd om de fondsen te traceren, waarvan ongeveer $672.000 nog altijd onaangeroerd in de hoofdwallet van de aanvaller staat.
Ook lezen: Bitcoin-ETF-exodus bereikt record van $6,35 mrd, maar paniekverkopen lijken af te koelen
Oneindige-mint-fout misleidde het contract
Het kwetsbare contract mintte Secret-gewrapte kopieën van gebrugde assets, maar verifieerde nooit via welk kanaal een storting werkelijk binnenkwam; het controleerde alleen of de tokennaam overeenkwam met een goedgekeurde lijst.
Onderzoeksbureau Common Prefix publiceerde een post-mortem waarin stap voor stap wordt uitgelegd hoe juist dat ene gat alles deed ontsporen. Omdat het netwerk transfers standaard verbergt, bleek het veel moeilijker om de aanvaller te traceren dan op een volledig transparant openbaar grootboek.
Om de fout uit te buiten, zette de aanvaller een chain op met één validator, opende een ongeautoriseerd kanaal en relayde zelf vervalste pakketten met tokennamen die rechtstreeks van de allowlist waren gekopieerd.
Het contract accepteerde deze en mintte echte, inwisselbare tokens zonder enige dekking erachter.
Door die neptokens via het echte kanaal te verzilveren, werd de escrow voor zeven gewrapte assets leeggetrokken. De fout was niet nieuw: volgens het bureau zat dezelfde logica sinds 2023 in de code en overleefde ze zelfs een migratie in maart 2026. Secret voegde daaraan toe dat er bij de eerste bouw van de brug geen externe audit is aangevraagd.
Cross-chain-bruggen blijven kwetsbaar
De gestolen fondsen stroomden via Osmosis, werden op een gedecentraliseerde beurs omgewisseld in Ether (ETH) en verspreidden zich over tientallen nieuwe wallets voordat ze uiteindelijk drie gecentraliseerde beurzen bereikten. De bredere markt reageerde lauw: de token van Axelar daalde die dag met ongeveer 2,2%, terwijl Secret vrijwel vlak bleef.
Toch verlengt dit verlies een genadeloos jaar voor cross-chain-infrastructuur. Bruggen die zijn gebouwd op vergelijkbare lock-and-mint-ontwerpen blijven het meest uitgebuite aanvalsoppervlak in crypto, met soortgelijke fouten die in 2026 al meer dan $340 miljoen hebben gekost in de sector. De tol omvat onder meer een inbreuk van $25 miljoen bij Resolv, een verlies van $11 miljoen bij Verus en een klap van $4 miljoen voor IoTeX.
Lees hierna: JaredFromSubway-bot verliest $7,5 miljoen na in eigen val te zijn gelopen