Secret Networks 4,67-Millionen-Dollar-Bridge-Raub begann mit einer fehlenden Überprüfung

Ein Angreifer hat rund 4,67 Millionen Dollar aus einer Secret (SCRT) Bridge, die mit Axelar (AXL) verbunden ist, abgezogen und dabei einen fehlerhaften Vertrag ausgenutzt, der ungedeckte Token aus dem Nichts mintete.

Wichtige Punkte:

Secret Network Bridge verliert Millionen

Der Diebstahl begann am 10. Juni, blieb jedoch sieben Tage lang unbemerkt, da Secret Guthaben standardmäßig verschlüsselt und die fehlende Sicherheit nie On-Chain angezeigt wurde. Er kam erst am 17. Juni ans Licht, als eine routinemäßige Cross-chain-Übertragung fehlschlug, weil das Treuhandkonto leer gelaufen war. Ermittler verfolgten den Fehlbetrag dann auf sieben verdächtige Auszahlungen zurück, die am ersten Tag vorgenommen wurden.

Axelar bestätigte den Verlust am 19. Juni und deaktivierte die betroffenen Secret- und Secret-SNIP-Verbindungen innerhalb von Stunden, wobei betont wurde, dass das Kernprotokoll zu keinem Zeitpunkt berührt wurde. Das Team erklärte, es habe Börsen und Strafverfolgungsbehörden kontaktiert, um die Mittel zu verfolgen, von denen etwa 672.000 Dollar noch immer unberührt in der Hauptwallet des Angreifers liegen.

Auch lesen: Bitcoin ETF Exodus erreicht Rekord von 6,35 Mrd. Dollar, aber Panikverkäufe könnten nachlassen

Infinite-Mint-Fehler täuschte den Vertrag

Der anfällige Vertrag mintete Secret-gewrappte Kopien von überbrückten Assets, verifizierte jedoch nie, aus welchem Kanal eine Einzahlung tatsächlich stammte, und glich nur den Namen eines Tokens mit einer Genehmigungsliste ab.

Das Forschungsunternehmen Common Prefix veröffentlichte eine Nachanalyse, die zeigt, wie diese einzelne Lücke sich entfaltete. Da das Netzwerk Übertragungen standardmäßig verbirgt, erwies sich die Verfolgung des Angreifers als weit schwieriger als auf einem vollständig transparenten öffentlichen Ledger.

Um es auszunutzen, richtete der Angreifer eine Chain mit einem Validator ein, öffnete einen nicht autorisierten Kanal und leitete gefälschte Pakete selbst weiter, die Token-Namen trugen, die direkt aus der Erlaubnisliste entnommen wurden.

Der Vertrag akzeptierte sie und mintete echte, einlösbare Token ohne jegliche Deckung dahinter.

Das Einlösen dieser Fälschungen über den echten Kanal leerte dann das Treuhandkonto über sieben gewrappte Assets. Der Fehler war nicht neu, und das Unternehmen berichtete, dass dieselbe Logik seit 2023 im Code vorhanden war und eine Migration im März 2026 überlebt hatte. Secret fügte hinzu, dass beim ersten Aufbau der Bridge kein externes Audit angefordert wurde.

Cross-Chain Brücken bleiben anfällig

Die gestohlenen Mittel flossen durch Osmosis, wurden auf einer dezentralen Börse in Ether (ETH) getauscht und verteilten sich auf Dutzende neue Wallets, bevor sie schließlich drei zentralisierte Börsen erreichten. Die breitere Marktreaktion blieb gedämpft, wobei der Token von Axelar am Tag um etwa 2,2 % fiel und Secret nahezu unverändert blieb.

Dennoch verlängert der Verlust ein brutales Jahr für Cross-Chain-Infrastruktur. Brücken, die auf ähnlichen Lock-and-Mint-Designs aufgebaut sind, bleiben die am häufigsten ausgenutzte Angriffsfläche in Krypto, wobei vergleichbare Fehler die Branche im Jahr 2026 mehr als 340 Millionen Dollar kosten. Dazu gehören ein Einbruch von 25 Millionen Dollar bei Resolv, ein Verlust von 11 Millionen Dollar bei Verus und ein Schaden von 4 Millionen Dollar bei IoTeX.

Weiter lesen: JaredFromSubway Bot verliert 7,5 Millionen Dollar, nachdem er auf seinen eigenen Köder hereingefallen ist