Le vol de pont à 4,67 M$ de Secret Network a commencé par une seule vérification manquante

Un attaquant a siphonné environ 4,67 millions de dollars depuis un bridge Secret (SCRT) lié à Axelar (AXL), en exploitant un contrat défaillant qui frappait des tokens sans aucune garantie à partir de rien.

Points clés :

Le Bridge Secret Network perd des millions

Le vol a débuté le 10 juin, mais est passé inaperçu pendant sept jours, car Secret chiffre les soldes par défaut et la garantie manquante n'est jamais apparue on-chain. L'incident n'a été découvert que le 17 juin, lorsqu'un transfert cross-chain de routine a échoué parce que le compte séquestre était à sec. Les enquêteurs ont ensuite retracé le déficit jusqu'à sept retraits suspects effectués le jour d'ouverture.

Axelar a confirmé la perte le 19 juin et a désactivé les connexions Secret et Secret-SNIP affectées en quelques heures, tout en soulignant que son protocole principal n'avait jamais été touché. L'équipe a indiqué avoir contacté des exchanges et les forces de l'ordre pour retrouver les fonds, dont environ 672 000 dollars restent intacts dans le portefeuille principal de l'attaquant.

À lire également : Bitcoin ETF Exodus Hits Record $6.35B, But Panic Selling May Be Cooling

Une faille de frappe infinie a trompé le contrat

Le contrat vulnérable frappait des copies Secret-wrappées des actifs bridgés, mais ne vérifiait jamais de quel canal provenait réellement un dépôt, se contentant de faire correspondre le nom d'un token à une liste approuvée.

Le cabinet de recherche Common Prefix a publié un postmortem détaillant comment cette seule lacune s'est révélée fatale. Étant donné que le réseau masque les transferts par défaut, retracer l'attaquant s'est avéré bien plus difficile que sur un registre public entièrement transparent.

Pour l'exploiter, l'attaquant a lancé une chaîne avec un seul validateur, ouvert un canal non autorisé, et auto-relayé des paquets forgés contenant des noms de tokens directement extraits de la liste d'autorisation.

Le contrat les a acceptés et a frappé de vrais tokens rachetables, sans aucune garantie derrière eux.

Le rachat de ces faux tokens via le canal authentique a ensuite vidé le séquestre de sept actifs wrappés. La faille n'était pas nouvelle : le cabinet a rapporté que la même logique était présente dans le code depuis 2023 et avait survécu à une migration en mars 2026. Secret a ajouté qu'aucun audit externe n'avait été demandé lors de la construction initiale du bridge.

Les bridges cross-chain restent exposés

Les fonds volés ont transité par Osmosis, ont été échangés contre de l'Ether (ETH) sur un exchange décentralisé, et dispersés dans des dizaines de nouveaux portefeuilles avant d'atteindre finalement trois exchanges centralisés. La réaction globale du marché est restée limitée, le token d'Axelar ayant chuté d'environ 2,2 % ce jour-là et Secret restant presque stable.

Néanmoins, cette perte prolonge une année brutale pour l'infrastructure cross-chain. Les bridges construits sur des modèles lock-and-mint similaires restent la surface la plus exploitée dans la crypto, des failles comparables ayant coûté plus de 340 millions de dollars à l'ensemble du secteur en 2026. Ce bilan inclut une brèche de 25 millions de dollars chez Resolv, une perte de 11 millions de dollars chez Verus, et un coup de 4 millions de dollars pour IoTeX.

À lire ensuite : JaredFromSubway Bot Loses $7.5M After Taking Its Own Bait