Sezony
Ranking
Wiadomości
Ucz się
Badania
Ranking
Ekosystem
Portfel

Wyciek z mostu Secret Network wart 4,67 mln USD zaczął się od jednego brakującego sprawdzenia

profile-mehjabeen-arsiwala
Mehjabeen Arsiwala12 godzin temu
#Hakerzy #Secret Network
Wyciek z mostu Secret Network wart 4,67 mln USD zaczął się od jednego brakującego sprawdzenia

Atakujący wyprowadził około 4,67 mln USD z mostu Secret (SCRT) powiązanego z Axelar (AXL), wykorzystując wadliwy kontrakt, który wybijał niepokryte tokeny z niczego.

Kluczowe punkty:

  • Wadliwy kontrakt w Secret Network pozwolił atakującemu wybijać niepokryte tokeny i wyprowadzić około 4,67 mln USD.
  • Kradzież pozostawała ukryta przez siedem dni, aż nieudany transfer ujawnił pusty escrow.
  • Axelar wyłączył dotknięte połączenia i podkreślił, że jego główny protokół nie został naruszony.

Most Secret Network traci miliony

Kradzież rozpoczęła się 10 czerwca, ale przez siedem dni pozostawała niezauważona, ponieważ Secret domyślnie szyfruje salda i brakujące zabezpieczenie nie pojawiało się on-chain. Problem wyszedł na jaw dopiero 17 czerwca, gdy rutynowy transfer międzyłańcuchowy nie powiódł się, ponieważ konto escrow zostało wyczyszczone. Śledczy powiązali następnie niedobór z siedmioma podejrzanymi wypłatami dokonanymi pierwszego dnia.

Axelar potwierdził stratę 19 czerwca i w ciągu kilku godzin wyłączył dotknięte połączenia Secret i Secret-SNIP, podkreślając, że jego główny protokół nie został naruszony. Zespół poinformował, że skontaktował się z giełdami i organami ścigania, aby prześledzić środki; około 672 000 USD wciąż pozostaje nietknięte w głównym portfelu atakującego.

Zobacz też: Rekordowy odpływ z Bitcoin ETF sięga 6,35 mld USD, ale panika może słabnąć

Luka „nieskończonego mintu” oszukała kontrakt

Podatny kontrakt wybijał owinięte na Secret kopie mostkowanych aktywów, ale nigdy nie weryfikował, z którego kanału faktycznie pochodził depozyt, dopasowując jedynie nazwę tokena do zatwierdzonej listy.

Firma badawcza Common Prefix opublikowała post‑mortem pokazujące, jak ta pojedyncza luka wszystko rozplątała. Ponieważ sieć domyślnie ukrywa transfery, śledzenie atakującego okazało się znacznie trudniejsze niż w pełni przejrzystym publicznym łańcuchu.

Aby wykorzystać lukę, atakujący uruchomił łańcuch z jednym walidatorem, otworzył nieautoryzowany kanał i samodzielnie przesyłał sfałszowane pakiety niosące nazwy tokenów skopiowane wprost z listy dozwolonych.

Kontrakt je akceptował i wybijał prawdziwe, wykupowalne tokeny bez jakiegokolwiek pokrycia.

Wykup tych fałszywek przez prawdziwy kanał opróżnił następnie escrow dla siedmiu owiniętych aktywów. Luka nie była nowa, a firma podała, że ten sam sposób działania siedział w kodzie od 2023 roku i przetrwał migrację z marca 2026. Secret dodał, że przy budowie mostu nie zamówiono zewnętrznego audytu.

Mosty międzyłańcuchowe wciąż zagrożone

Skonfiskowane środki przeszły przez Osmosis, zostały zamienione na Ether (ETH) na zdecentralizowanej giełdzie i rozproszone po dziesiątkach świeżych portfeli, zanim ostatecznie trafiły na trzy scentralizowane giełdy. Szersza reakcja rynku pozostała stonowana: token Axelar spadł tego dnia o około 2,2%, a Secret utrzymał się niemal bez zmian.

Mimo to strata pogłębia brutalny rok dla infrastruktury międzyłańcuchowej. Mosty o podobnej konstrukcji „zablokuj‑i‑mintuj” pozostają najbardziej eksploatowaną powierzchnią w krypto, a porównywalne luki kosztowały branżę ponad 340 mln USD w 2026 r. Bilans obejmuje włamanie do Resolv na 25 mln USD, stratę 11 mln USD w Verus i cios 4 mln USD dla IoTeX.

Przeczytaj następnie: Bot JaredFromSubway traci 7,5 mln USD po złapaniu się na własną przynętę

Zastrzeżenie i ostrzeżenie o ryzyku: Informacje zawarte w tym artykule służą wyłącznie celom edukacyjnym i informacyjnym i opierają się na opinii autora. Nie stanowią one porad finansowych, inwestycyjnych, prawnych czy podatkowych. Aktywa kryptowalutowe są bardzo zmienne i podlegają wysokiemu ryzyku, w tym ryzyku utraty całości lub znacznej części Twojej inwestycji. Handel lub posiadanie aktywów krypto może nie być odpowiednie dla wszystkich inwestorów. Poglądy wyrażone w tym artykule są wyłącznie poglądami autora/autorów i nie reprezentują oficjalnej polityki lub stanowiska Yellow, jej założycieli lub dyrektorów. Zawsze przeprowadź własne dokładne badania (D.Y.O.R.) i skonsultuj się z licencjonowanym specjalistą finansowym przed podjęciem jakiejkolwiek decyzji inwestycyjnej.
Powiązane wiadomości
Most Verus-Ethereum traci 11 mln dol. w nowym ataku na most cross-chain
May 18, 2026
Atakujący wykradł z mostu Verus-Ethereum tBTC, ETH i USDC warte ponad 11 mln dol., zamieniając skradzione środki na 5 402 ETH.
Alephium twierdzi, że luka poza łańcuchem, a nie skradzione klucze, umożliwiła naruszenie na 815 tys. dolarów
Atak na most Alephium doprowadził do utraty ok. 815 tys. dolarów przez lukę off‑chain; wybito 13,76 mln niepopartych ALPH, zespół obiecuje zwrot.
Haker Verus Bridge Zwraca 8,5 mln USD w ramach wynegocjowanej nagrody
May 22, 2026
Haker mostu Verus odesłał 4 052 ETH warte 8,5 mln USD, zatrzymując 1 350 ETH jako nagrodę, co na nowo rozpala debatę o „white-hat” w DeFi.
Aztec Connect traci 2,1 mln USD w wyniku ataku na „zombie” kontrakt zamrożony od 3 lat
Jun 15, 2026
Aztec Connect stracił 2,19 mln USD przez błąd w weryfikacji dowodów w starym protokole; niezmienny kod i brak kluczy admina uniemożliwiły reakcję.
Straty po ataku na Hyperbridge sięgają 2,5 mln USD, dziesięciokrotnie więcej niż pierwotne szacunki
Hyperbridge koryguje straty po ataku na most DOT–ETH do 2,5 mln USD. Środki śledzone na Binance, mosty wstrzymane, możliwa rekompensata tokenem BRIDGE.
Powiązane artykuły badawcze
Mosty międzyłańcuchowe są wciąż drenowane. Dlaczego więc wszyscy nadal z nich korzystają?
Dlaczego mimo miliardowych strat mosty cross-chain wciąż dominują, jak działają, gdzie są najsłabsze i jakie nowe projekty próbują je zabezpieczyć.
Największe exploity kryptowalutowe 2025–2026: co naprawdę poszło nie tak
Przegląd 10 największych ataków na krypto w latach 2025–2026 i wspólnych wzorców: koncentracji zaufania, błędów kontraktów i łańcucha dostaw.
Claude Mythos i krypto: co nowe zagrożenie ze strony AI oznacza dla handlu
Claude Mythos odkrył tysiące luk zero‑day; krypto traci miliardy na hackach, a AI może przyspieszyć ataki, zwiększając presję na giełdy i DeFi.
Lazarus i włamanie na Kelp: jak północnokoreańska machina krypto‑rabunków wciąż ewoluuje
Jak północnokoreańska grupa Lazarus ewoluuje w wykorzystywaniu krypto jako źródła finansowania, na przykładzie ataku na Kelp DAO i innych włamań.
Crypto Bridges Wyjaśnione: Opłaty, Ryzyka i Dlaczego UX Cross-Chain Wciąż Kuleje w 2025 Roku
Sep 24, 2025
Pomimo miliardów zainwestowanych w infrastrukturę cross-chain, transfery aktywów między blockchainami pozostają frustrujące jak kiedyś.
Powiązane artykuły edukacyjne
7 sygnałów ostrzegawczych oszustw kryptowalutowych, które branża przekrętów za 17 mld dol. liczy, że przeoczysz
Mar 16, 2026
Przewodnik pokazuje 7 głównych typów oszustw krypto, ich schemat działania oraz konkretne sposoby wykrywania przed utratą pieniędzy.
Ochrona konta na giełdzie kryptowalut: Wyjaśnione zaawansowane strategie bezpieczeństwa
Zrozumienie mechanizmów inżynierii społecznej jest kluczowe - od indywidualnych posiadaczy po duże giełdy.
Ataki socjotechniczne w kryptowalutach: 10 sprawdzonych wskazówek, jak chronić swoje cyfrowe aktywa
May 13, 2025
Naucz się zabezpieczać swoje kryptowaluty przed oszustwami socjotechnicznymi dzięki sprawdzonym poradom.
CEX vs. DEX vs. giełda hybrydowa: która jest naprawdę dla Ciebie najlepsza?
Porównanie CEX, DEX i giełd hybrydowych: różnice w bezpieczeństwie, opłatach, prywatności i kontroli nad środkami w kontekście roku 2026.
10 najważniejszych rzeczy, które musisz wiedzieć przed handlem na DEX-ie
10 kluczowych zasad bezpiecznego i skutecznego handlu na DEX-ach: poślizg cenowy, MEV, bezpieczeństwo portfela, zgody tokenów i płynność.