Secret NetworkのブリッジからSCRTが$4.67M盗まれた事件は、たった一つのチェック漏れから始まった

攻撃者は、Axelar（AXL）に接続されたSecret（SCRT）ブリッジから約467万ドルを流出させた。無から裏付けのないトークンを発行する欠陥のあるコントラクトを悪用したものだ。

主なポイント：

Secret Networkブリッジが数百万ドルの被害

盗難は6月10日に始まったが、Secretがデフォルトで残高を暗号化しており、不足した担保がオンチェーンに表示されなかったため、7日間気付かれなかった。発覚したのは6月17日、定期的なクロスチェーン送金がエスクローアカウントの枯渇により失敗したときだった。調査の結果、初日に行われた7件の不審な出金が不足分の原因であることが判明した。

Axelarは6月19日に被害を確認し、数時間以内に影響を受けたSecretおよびSecret-SNIP接続を無効化した。一方で、コアプロトコルは一切影響を受けていないことを強調した。チームは資金の追跡に向けて取引所や法執行機関に連絡を取ったとしており、約67万2,000ドルは依然として攻撃者のメインウォレットに手付かずのまま残っている。

併せて読む： Bitcoin ETFからの資金流出が63億5,000万ドルの過去最高を記録、パニック売りは沈静化の兆しか

無限発行の脆弱性がコントラクトを欺く

脆弱なコントラクトはブリッジされた資産のSecretラップ版を発行していたが、預け入れが実際にどのチャネルから来たかを検証せず、承認済みリストに対してトークン名のみを照合していた。

リサーチ企業Common Prefixは、その単一の欠陥がどのように悪用されたかを詳細にまとめたポストモーテムを公開した。ネットワークがデフォルトで送金を非表示にするため、完全に透明なパブリック台帳と比べて攻撃者の追跡は格段に困難だった。

攻撃者はこれを悪用するため、バリデーターが1つのチェーンを立ち上げ、未認可のチャネルを開き、許可リストから直接取得したトークン名を含む偽造パケットを自己リレーした。

コントラクトはそれらを受け入れ、何の裏付けもない実際に換金可能なトークンを発行した。

その偽トークンを正規チャネルで換金することで、7種類のラップ資産のエスクローが空になった。この脆弱性は新しいものではなく、同じロジックが2023年からコードに存在し、2026年3月の移行後も残存していたと同社は報告している。Secretは、ブリッジ構築当初に外部監査が依頼されなかったことも認めた。

クロスチェーンブリッジへの脅威は続く

盗まれた資金はOsmosisを通じて移動し、分散型取引所でEther（ETH）に交換された後、数十の新規ウォレットに分散され、最終的に3つの中央集権型取引所に到達した。市場全体の反応は限定的で、Axelarのトークンは当日約2.2%下落し、Secretはほぼ横ばいを維持した。

それでも、この被害はクロスチェーンインフラにとって厳しい1年をさらに延長するものだ。同様のロック＆ミント設計のブリッジは暗号資産業界で最も狙われやすい攻撃対象であり続けており、同様の脆弱性により2026年に業界全体で3億4,000万ドル以上の損失が生じている。その内訳にはResolvでの2,500万ドルの被害、Verusでの1,100万ドルの損失、IoTeXへの400万ドルの打撃が含まれる。

次に読む： JaredFromSubway Botが自らの罠にはまり750万ドルを失う