De $4,67 miljoen bridge-diefstal van Secret Network begon met één ontbrekende controle

Een aanvaller heeft ongeveer $4,67 miljoen weggesluisd van een Secret (SCRT)-brug gekoppeld aan Axelar (AXL), door misbruik te maken van een gebrekkig contract dat ongedekte tokens uit het niets aanmaakte.

Belangrijkste punten:

Secret Network-brug verliest miljoenen

De diefstal begon op 10 juni maar bleef zeven dagen onopgemerkt, omdat Secret saldi standaard versleutelt en het ontbrekende onderpand nooit zichtbaar was op de chain. Het came pas aan het licht op 17 juni, toen een routinematige cross-chain overdracht mislukte omdat de escrow-rekening leeg was geraakt. Onderzoekers traceerden het tekort vervolgens terug naar zeven verdachte opnames die op de eerste dag waren gedaan.

Axelar bevestigde het verlies op 19 juni en schakelde de getroffen Secret- en Secret-SNIP-verbindingen binnen enkele uren uit, waarbij het benadrukte dat het kernprotocol nooit was aangetast. Het team zei contact te hebben opgenomen met beurzen en wetshandhaving om de fondsen te traceren, waarvan ongeveer $672.000 nog onaangeroerd in de hoofdportemonnee van de aanvaller zit.

Lees ook: Bitcoin ETF Exodus Hits Record $6.35B, But Panic Selling May Be Cooling

Infinite-mint-fout misleidde het contract

Het kwetsbare contract maakte Secret-wrapped kopieën van overbrugde activa aan, maar verifieerde nooit via welk kanaal een storting werkelijk afkomstig was, waarbij alleen de naam van een token werd gecontroleerd aan de hand van een goedgekeurde lijst.

Onderzoeksbureau Common Prefix publiceerde een postmortem waarin werd uiteengezet hoe die ene tekortkoming leidde tot de ontknoping. Omdat het netwerk overdrachten standaard verbergt, bleek het traceren van de aanvaller veel moeilijker dan op een volledig transparant openbaar grootboek het geval zou zijn geweest.

Om hiervan misbruik te maken, startte de aanvaller een chain op met één validator, opende een ongeautoriseerd kanaal en stuurde zelf vervalste pakketjes door met tokennamen die rechtstreeks van de allow-list waren gehaald.

Het contract accepteerde deze en maakte echte, inwisselbare tokens aan zonder enige dekking daarachter.

Het inwisselen van die vervalsingen via het echte kanaal ledigde vervolgens de escrow over zeven wrapped activa. De fout was niet nieuw; het bedrijf meldde dat dezelfde logica al sinds 2023 in de code aanwezig was en een migratie in maart 2026 had overleefd. Secret voegde eraan toe dat er geen externe audit was aangevraagd toen de brug voor het eerst werd gebouwd.

Cross-chain-bruggen blijven kwetsbaar

De gestolen fondsen verplaatsten zich via Osmosis, werden op een gedecentraliseerde beurs omgewisseld naar Ether (ETH) en verspreid over tientallen nieuwe portemonnees voordat ze uiteindelijk drie gecentraliseerde beurzen bereikten. De bredere marktreactie bleef gematigd, waarbij het token van Axelar op de dag met ongeveer 2,2% daalde en Secret vrijwel stabiel bleef.

Toch verlengt het verlies een zwaar jaar voor cross-chain-infrastructuur. Bruggen gebouwd op vergelijkbare lock-and-mint-ontwerpen blijven het meest misbruikte oppervlak in crypto, waarbij vergelijkbare gebreken in 2026 meer dan $340 miljoen in de sector hebben gekost. De schade omvat een breach van $25 miljoen bij Resolv, een verlies van $11 miljoen bij Verus en een schade van $4 miljoen bij IoTeX.

Lees verder: JaredFromSubway Bot Loses $7.5M After Taking Its Own Bait