Kradzież 4,67 mln dolarów z mostu Secret Network zaczęła się od jednego brakującego sprawdzenia

Atakujący wyprowadził około 4,67 miliona dolarów z mostu Secret (SCRT) powiązanego z Axelar (AXL), wykorzystując wadliwy kontrakt, który tworzył niepokryte tokeny z niczego.

Kluczowe punkty:

Most Secret Network traci miliony

Kradzież rozpoczęła się 10 czerwca, lecz przez siedem dni pozostawała niezauważona, ponieważ Secret domyślnie szyfruje salda, a brakujące zabezpieczenie nigdy nie pojawiło się w łańcuchu. Wyszła na jaw dopiero 17 czerwca, gdy rutynowy transfer między łańcuchami nie powiódł się z powodu wyczerpania konta escrow. Śledczy prześledzili następnie niedobór do siedmiu podejrzanych wypłat dokonanych pierwszego dnia.

Axelar potwierdził stratę 19 czerwca i w ciągu kilku godzin wyłączył dotknięte połączenia Secret i Secret-SNIP, podkreślając jednocześnie, że jego główny protokół nie został naruszony. Zespół poinformował, że skontaktował się z giełdami i organami ścigania w celu wyśledzenia środków, z których około 672 000 dolarów nadal pozostaje nienaruszone w głównym portfelu atakującego.

Przeczytaj również: Bitcoin ETF Exodus Hits Record $6.35B, But Panic Selling May Be Cooling

Luka umożliwiająca nieskończone bicie monet oszukała kontrakt

Podatny kontrakt tworzył opakowane przez Secret kopie pomostowanych aktywów, jednak nigdy nie weryfikował, z którego kanału faktycznie pochodzi depozyt, sprawdzając jedynie nazwę tokena w stosunku do zatwierdzonej listy.

Firma badawcza Common Prefix opublikowała analizę post-mortem, mapując sposób, w jaki ta pojedyncza luka doprowadziła do katastrofy. Ponieważ sieć domyślnie ukrywa transfery, wyśledzenie atakującego okazało się znacznie trudniejsze niż w przypadku w pełni przejrzystej publicznej księgi rachunkowej.

Aby to wykorzystać, atakujący uruchomił łańcuch z jednym walidatorem, otworzył nieautoryzowany kanał i samodzielnie przekazał sfałszowane pakiety zawierające nazwy tokenów zaczerpnięte wprost z listy dozwolonych.

Kontrakt zaakceptował je i wytworzył prawdziwe, wymienialne tokeny, za którymi absolutnie nic nie stało.

Wymiana tych fałszywych tokenów przez prawdziwy kanał opróżniła następnie escrow z siedmiu opakownych aktywów. Luka nie była nowa – firma podała, że ta sama logika znajdowała się w kodzie od 2023 roku i przetrwała migrację w marcu 2026 roku. Secret dodał, że podczas pierwszej budowy mostu nie zlecono zewnętrznego audytu.

Mosty między łańcuchami pozostają narażone

Skradzione środki przeszły przez Osmosis, zostały zamienione na Ether (ETH) na zdecentralizowanej giełdzie i rozproszy się na dziesiątki nowych portfeli, zanim ostatecznie trafiły na trzy scentralizowane giełdy. Reakcja szerszego rynku pozostała stonowana – token Axelara stracił tego dnia około 2,2%, a Secret utrzymał się niemal bez zmian.

Niemniej strata ta przedłuża brutalny rok dla infrastruktury między łańcuchami. Mosty zbudowane na podobnych mechanizmach blokowania i bicia monet pozostają najczęściej wykorzystywanym obszarem ataków w kryptowalutach, a porównywalne luki kosztowały branżę ponad 340 milionów dolarów w 2026 roku. Straty obejmują naruszenie bezpieczeństwa o wartości 25 milionów dolarów w Resolv, 11 milionów dolarów strat w Verus oraz 4 miliony dolarów uszczerbku w IoTeX.

Przeczytaj dalej: JaredFromSubway Bot Loses $7.5M After Taking Its Own Bait