Aller au contenu
Fondé MMXXVIVol. VI · № 294RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 290Exploit de pont

Exploit de frappe infinie sur le pont Axelar de Secret Network

Un contrat de pont défaillant a permis de forger des paquets IBC et de frapper des saTokens sans contrepartie, drainant environ 4,67 M$ d'actifs Axelar.

Date
Victime
Secret Network (Axelar bridge)
Chaîne(s)
Secret NetworkAxelarOsmosisEthereum
Statut
Fonds dérobés

Le 10 juin 2026, le pont reliant Secret Network à Axelar a été exploité pour environ 4,67 millions de dollars. L'attaque est passée inaperçue pendant sept jours et n'a été découverte que le 17 juin, lorsqu'un transfert cross-chain échoué a révélé que le compte séquestre (escrow) d'Axelar garantissant les actifs transférés avait été vidé.

Ce qui s'est passé

Le contrat de pont de Secret Network frappait des versions wrappées en Secret des actifs transférés via Axelar — appelées saTokens — mais ne vérifiait pas par quel canal IBC un transfert entrant arrivait réellement. L'attaquant a monté une chaîne Cosmos à validateur unique, ouvert un canal vers le contrat de pont et auto-relayé des paquets falsifiés portant des dénominations de jetons correspondant à la liste blanche du contrat. Comme le contrat se fiait à la dénomination sans contrôler le canal d'origine, il a frappé de véritables saTokens sans aucune contrepartie. L'attaquant a ensuite échangé ces jetons non garantis contre environ 4,67 millions de dollars d'actifs réels — une défaillance classique de frappe infinie.

Conséquences

Les actifs volés ont été retirés via Axelar, acheminés via Osmosis par transfert automatique de paquets, transférés vers Ethereum et majoritairement échangés contre de l'ether sur CoW Protocol. Les produits ont été répartis sur une trentaine de transferts vers de nouveaux portefeuilles avant d'aboutir à des adresses de dépôt chez KuCoin, ChangeNow et HitBTC. Le comité d'urgence d'Axelar a désactivé les connexions Secret et Secret-SNIP une fois la fuite découverte, et le routeur cross-chain Squid a retiré Secret de son frontend. Axelar a affirmé que son protocole principal et ses autres connexions n'avaient pas été affectés — la perte s'est limitée au contrat de pont de Secret Network.

Pourquoi c'est important

L'exploit de Secret Network est un cas d'école de défaillance de la frontière de confiance IBC : un pont qui validait quel jeton arrivait mais pas d'où il venait a permis à un attaquant de fabriquer des dépôts depuis une chaîne qu'il contrôlait lui-même. Il reproduit les mêmes schémas de messages falsifiés et de frappe sans contrepartie observés chez Gravity Bridge, Syscoin et Verus. Il souligne aussi une lacune de détection récurrente — des pertes qui restent cachées pendant des jours parce que les indexeurs et les soldes de séquestre sont rapprochés trop lentement, la même faiblesse de surveillance qui a retardé la découverte de plusieurs incidents de l'écosystème Cosmos en 2026.

Sources & preuves on-chain

  1. [01]theblock.cohttps://www.theblock.co/post/405459/secret-networks-axelar-bridge-drained-for-4-67-million-in-infinite-mint-exploit-that-went-unnoticed-for-seven-days
  2. [02]crypto.newshttps://crypto.news/axelar-shuts-down-secret-network-bridge-routes-after-4-7m-exploit/
  3. [03]ambcrypto.comhttps://ambcrypto.com/axelar-disables-secret-connection-after-4-67m-exploit-hits-ibc-linked-assets/
  4. [04]cryptotimes.iohttps://www.cryptotimes.io/2026/06/19/4-67m-exploit-hits-axelar-secret-network-bridge-links-disabled/

Dépôts liés