Kẻ tấn công đã rút khoảng 4,67 triệu đô từ cầu nối Secret (SCRT) được liên kết với Axelar (AXL), bằng cách khai thác một hợp đồng lỗi cho phép đúc token không được bảo chứng từ hư không.
Những điểm chính:
- Một hợp đồng của Secret Network bị lỗi đã cho phép kẻ tấn công đúc token không có tài sản bảo chứng, rút khoảng 4,67 triệu đô.
- Vụ trộm bị che giấu trong bảy ngày cho đến khi một giao dịch chuyển thất bại làm lộ tài khoản ký quỹ trống rỗng.
- Axelar đã vô hiệu hóa các kết nối bị ảnh hưởng và khẳng định giao thức lõi của họ không bị đụng đến.
Cầu nối Secret Network mất hàng triệu đô
Vụ trộm bắt đầu vào ngày 10/6 nhưng không bị phát hiện trong bảy ngày, vì Secret mã hóa số dư theo mặc định và phần tài sản thế chấp bị thiếu không hiện trên chuỗi. Nó chỉ lộ ra vào ngày 17/6, khi một giao dịch chuyển xuyên chuỗi thông thường thất bại do tài khoản ký quỹ đã cạn kiệt. Điều tra viên sau đó lần ngược khoản thiếu hụt về bảy lần rút đáng ngờ được thực hiện ngay trong ngày đầu.
Axelar xác nhận khoản thất thoát vào ngày 19/6 và vô hiệu hóa các kết nối Secret và Secret-SNIP bị ảnh hưởng chỉ trong vài giờ, đồng thời nhấn mạnh rằng giao thức lõi của họ không bị đụng đến. Đội ngũ cho biết họ đã liên hệ với các sàn giao dịch và cơ quan thực thi pháp luật để truy vết dòng tiền; khoảng 672.000 đô vẫn còn nằm yên trong ví chính của kẻ tấn công.
Xem thêm: Làn thoái vốn ETF Bitcoin đạt kỷ lục 6,35 tỷ đô, nhưng làn sóng bán hoảng loạn có thể đang hạ nhiệt
Lỗi “đúc vô hạn” qua mặt hợp đồng
Hợp đồng dễ bị tấn công này đúc các bản Secret-wrapped của tài sản được bắc cầu nhưng lại không bao giờ xác minh thực sự tiền gửi đến từ kênh nào, mà chỉ so khớp tên token với một danh sách được phê duyệt.
Công ty nghiên cứu Common Prefix đã công bố một bản phân tích hậu kỳ mô tả cách một lỗ hổng duy nhất đó làm mọi thứ sụp đổ. Vì mạng lưới ẩn các giao dịch theo mặc định, việc truy vết kẻ tấn công trở nên khó khăn hơn nhiều so với trên một sổ cái công khai hoàn toàn minh bạch.
Để khai thác, kẻ tấn công đã dựng một chuỗi với một validator duy nhất, mở một kênh trái phép và tự chuyển tiếp các gói dữ liệu giả mạo mang tên token được sao chép trực tiếp từ danh sách cho phép.
Hợp đồng chấp nhận chúng và đúc ra các token thật, có thể đổi được, hoàn toàn không có tài sản nào đứng sau.
Đổi các token giả đó thông qua kênh hợp pháp sau đó đã rút cạn tài khoản ký quỹ của bảy tài sản wrapped. Lỗi này không hề mới, và công ty cho biết trong một báo cáo đã đăng rằng cùng một logic đã tồn tại trong mã từ năm 2023 và vẫn sống sót qua đợt di trú tháng 3/2026. Secret bổ sung rằng không có cuộc kiểm toán độc lập nào được yêu cầu khi cầu nối được xây dựng lần đầu.
Cầu nối xuyên chuỗi vẫn đầy rủi ro
Số tiền bị đánh cắp đã được chuyển qua Osmosis, hoán đổi sang Ether (ETH) trên một sàn phi tập trung, rồi phân tán vào hàng chục ví mới trước khi cuối cùng chảy đến ba sàn giao dịch tập trung. Phản ứng của thị trường rộng hơn khá trầm lắng, token của Axelar giảm khoảng 2,2% trong ngày còn Secret gần như đi ngang.
Dù vậy, khoản thua lỗ này tiếp tục kéo dài một năm tồi tệ cho hạ tầng xuyên chuỗi. Các cầu nối xây trên mô hình khóa-và-đúc tương tự vẫn là bề mặt bị khai thác nhiều nhất trong crypto, với các lỗ hổng tương tự đã gây thiệt hại hơn 340 triệu đô trên toàn ngành trong năm 2026. Con số này bao gồm vụ vi phạm 25 triệu đô tại Resolv, khoản lỗ 11 triệu đô tại Verus và cú đánh 4 triệu đô vào IoTeX.
Đọc tiếp: Bot JaredFromSubway mất 7,5 triệu đô sau khi tự sập bẫy của chính mình