การโจรกรรมสะพานมูลค่า 4.67 ล้านดอลลาร์ของ Secret Network เริ่มต้นจากการตรวจสอบที่ขาดหายไปเพียงครั้งเดียว

ผู้โจมตีดูดเงินราว 4.67 ล้านดอลลาร์จากบริดจ์ของ Secret (SCRT) ที่เชื่อมต่อกับ Axelar (AXL) โดยใช้ประโยชน์จากสัญญาที่มีข้อบกพร่องซึ่งสามารถสร้างโทเค็นที่ไม่มีหลักประกันขึ้นมาจากอากาศ

ประเด็นสำคัญ:

บริดจ์ของ Secret Network สูญเสียเงินหลายล้าน

การโจรกรรมเริ่มต้นเมื่อวันที่ 10 มิ.ย. แต่ไม่มีใครสังเกตเห็นเป็นเวลาเจ็ดวัน เนื่องจาก Secret เข้ารหัสยอดคงเหลือโดยค่าเริ่มต้น และหลักประกันที่หายไปไม่ปรากฏบนเชน เรื่องนี้เพิ่งถูกค้นพบเมื่อวันที่ 17 มิ.ย. เมื่อการโอนข้ามเชนตามปกติล้มเหลวเพราะบัญชีเอสโครว์หมดลง นักสืบจึงสืบย้อนการขาดดุลไปยังการถอนเงินที่น่าสงสัยเจ็ดครั้งในวันแรก

Axelar ยืนยันการสูญเสียดังกล่าวเมื่อวันที่ 19 มิ.ย. และปิดใช้งานการเชื่อมต่อ Secret และ Secret-SNIP ที่ได้รับผลกระทบภายในไม่กี่ชั่วโมง พร้อมเน้นย้ำว่าโปรโตคอลหลักไม่ได้รับผลกระทบแต่อย่างใด ทีมงานระบุว่าได้ติดต่อกับผู้ให้บริการแลกเปลี่ยนและหน่วยงานบังคับใช้กฎหมายเพื่อติดตามเงิน ซึ่งประมาณ 672,000 ดอลลาร์ยังคงอยู่ในกระเป๋าเงินหลักของผู้โจมตีโดยไม่มีการเคลื่อนไหว

อ่านเพิ่มเติม: Bitcoin ETF Exodus Hits Record $6.35B, But Panic Selling May Be Cooling

ช่องโหว่ Infinite-Mint หลอกสัญญาได้สำเร็จ

สัญญาที่มีช่องโหว่ได้สร้างสำเนา Secret-wrapped ของสินทรัพย์ที่บริดจ์มา แต่ไม่เคยตรวจสอบว่าการฝากเงินมาจากช่องทางไหนจริง ๆ โดยจับคู่เพียงชื่อโทเค็นกับรายการที่ได้รับอนุมัติเท่านั้น

บริษัทวิจัย Common Prefix ได้เผยแพร่รายงานวิเคราะห์หลังเหตุการณ์ที่อธิบายว่าช่องว่างเพียงจุดเดียวนั้นคลี่คลายออกมาอย่างไร เนื่องจากเครือข่ายซ่อนการโอนโดยค่าเริ่มต้น การติดตามตัวผู้โจมตีจึงยากกว่าบนบัญชีแยกประเภทสาธารณะที่โปร่งใสอย่างสมบูรณ์มาก

ในการโจมตี ผู้โจมตีตั้งเชนขึ้นมาพร้อมผู้ตรวจสอบหนึ่งคน เปิดช่องทางที่ไม่ได้รับอนุญาต และส่งต่อแพ็กเก็ตปลอมด้วยตัวเองโดยใช้ชื่อโทเค็นที่คัดลอกมาจาก allow-list โดยตรง

สัญญายอมรับและสร้างโทเค็นจริงที่สามารถแลกได้โดยไม่มีสิ่งใดค้ำประกันเลย

การนำของปลอมเหล่านั้นไปแลกผ่านช่องทางจริงทำให้เอสโครว์ของสินทรัพย์ wrapped เจ็ดรายการหมดลง ช่องโหว่นี้ไม่ใช่เรื่องใหม่ บริษัทรายงานว่าลอจิกเดียวกันนี้อยู่ในโค้ดมาตั้งแต่ปี 2023 และรอดผ่านการ migration เมื่อเดือนมีนาคม 2026 Secret เสริมด้วยว่าไม่มีการขอตรวจสอบจากภายนอกเมื่อสร้างบริดจ์ครั้งแรก

บริดจ์ข้ามเชนยังคงเปราะบาง

เงินที่ถูกขโมยเคลื่อนผ่าน Osmosis แลกเปลี่ยนเป็น Ether (ETH) บนกระดานเทรดแบบกระจายศูนย์ และกระจายไปยังกระเป๋าเงินใหม่หลายสิบใบก่อนจะไปถึงกระดานเทรดแบบรวมศูนย์สามแห่ง การตอบสนองของตลาดโดยรวมยังคงเงียบเฉย โดยโทเค็นของ Axelar ลดลงประมาณ 2.2% ในวันนั้น และ Secret แทบไม่เปลี่ยนแปลง

กระนั้น ความสูญเสียนี้ขยายปีที่โหดร้ายสำหรับโครงสร้างพื้นฐานข้ามเชน บริดจ์ที่สร้างบนการออกแบบแบบ lock-and-mint ยังคงเป็นพื้นผิวที่ถูกโจมตีมากที่สุดในโลกคริปโต โดยช่องโหว่ที่คล้ายกันสร้างความเสียหายมากกว่า 340 ล้านดอลลาร์ทั่วอุตสาหกรรมในปี 2026 รวมถึงการละเมิด 25 ล้านดอลลาร์ที่ Resolv การสูญเสีย 11 ล้านดอลลาร์ที่ Verus และความเสียหาย 4 ล้านดอลลาร์ที่ IoTeX

อ่านต่อ: JaredFromSubway Bot Loses $7.5M After Taking Its Own Bait