Um invasor drenou cerca de US$ 4,67 milhões de uma bridge da Secret (SCRT) ligada à Axelar (AXL), explorando um contrato com falha que cunhava tokens sem lastro a partir do nada.
Pontos-chave:
- Um contrato com falha na Secret Network permitiu que um invasor cunhasse tokens sem lastro, drenando cerca de US$ 4,67 milhões.
- O roubo ficou oculto por sete dias até que uma transferência falha expôs o escrow vazio.
- A Axelar desativou as conexões afetadas e afirmou que seu protocolo central nunca foi tocado.
Bridge da Secret Network perde milhões
O roubo começou em 10 de junho, mas passou sete dias despercebido, já que a Secret criptografa saldos por padrão e a falta de colateral não aparecia on-chain. Ele só veio à tona em 17 de junho, quando uma transferência rotineira entre cadeias falhou porque a conta de escrow havia secado. Investigadores então rastrearam o déficit até sete saques suspeitos feitos no dia inicial.
A Axelar confirmou a perda em 19 de junho e desativou, em poucas horas, as conexões Secret e Secret-SNIP afetadas, enfatizando que seu protocolo central não foi tocado. A equipe afirmou ter contatado corretoras e autoridades para rastrear os fundos, cerca de US$ 672.000 dos quais ainda permanecem intocados na carteira principal do invasor.
Veja também: Êxodo de ETFs de Bitcoin bate recorde de US$ 6,35 bi, mas venda em pânico pode estar esfriando
Falha de “cunhagem infinita” enganou o contrato
O contrato vulnerável cunhava versões “wrapped” na Secret de ativos bridgados, mas nunca verificava de qual canal um depósito realmente vinha, apenas conferia o nome do token em uma lista aprovada.
A empresa de pesquisa Common Prefix publicou uma análise pós-morte mapeando como essa única lacuna desfez tudo. Como a rede oculta transferências por padrão, rastrear o invasor se mostrou muito mais difícil do que seria em um livro-razão público totalmente transparente.
Para explorar a falha, o invasor criou uma cadeia com um único validador, abriu um canal não autorizado e auto-retransmitiu pacotes forjados carregando nomes de tokens copiados diretamente da allow-list.
O contrato os aceitou e cunhou tokens reais e resgatáveis sem absolutamente nenhum lastro por trás.
Ao resgatar esses falsos pelo canal legítimo, o invasor esvaziou o escrow em sete ativos wrapped. A falha não era nova, e a empresa relatou que a mesma lógica estava no código desde 2023 e sobreviveu a uma migração em março de 2026. A Secret acrescentou que nenhuma auditoria externa foi solicitada quando a bridge foi construída pela primeira vez.
Bridges cross-chain continuam expostas
Os fundos roubados passaram pela Osmosis, foram trocados por Ether (ETH) em uma corretora descentralizada e espalhados por dezenas de novas carteiras antes de finalmente chegarem a três corretoras centralizadas. A reação do mercado mais amplo permaneceu contida, com o token da Axelar caindo cerca de 2,2% no dia e o da Secret ficando quase estável.
Ainda assim, a perda amplia um ano brutal para a infraestrutura cross-chain. Bridges baseadas em modelos semelhantes de “travar e cunhar” continuam sendo a superfície mais explorada nas cripto, com falhas comparáveis custando mais de US$ 340 milhões em todo o setor em 2026. O total inclui uma violação de US$ 25 milhões na Resolv, uma perda de US$ 11 milhões na Verus e um prejuízo de US$ 4 milhões na IoTeX.
Leia a seguir: Bot JaredFromSubway perde US$ 7,5 mi após cair na própria armadilha