CEVIU Logo
Voltar
💸CEVIU Cripto

Falha de infinite mint drena US$ 4,67 milhões do bridge Axelar da Secret Network

Aprofundamento CEVIU

Aprofundamento

A falha que drenou US$ 4,67 milhões do bridge da Secret Network não foi um erro recente, mas sim uma vulnerabilidade escondida desde março de 2023, quando o contrato CW20-ICS20 foi implantado pela primeira vez. Dois checks de validação essenciais, um que confirmava se os tokens recebidos vinham do canal correto e outro que limitava saques ao valor real em escrow, foram simplesmente comentados no código e nunca revisitados. Mesmo após uma atualização de bytecode em março de 2026, que adicionou novas funcionalidades, essas verificações permaneceram desativadas. Isso transformou o bridge em uma porta aberta: qualquer chain Cosmos podia criar um canal IBC, enviar pacotes falsos com denominações válidas e cunhar tokens wrapped sem lastro, enquanto a criptografia padrão da Secret Network escondia o desequilíbrio das reservas.

O atacante usou essa brecha por sete dias, movendo ativos como saUSDT, saWBTC e saWETH para fora do bridge sem disparar alertas. A ausência de monitoramento ativo de liquidez on-chain permitiu que o roubo só fosse descoberto quando um usuário tentou fazer uma transferência e o escrow ficou vazio. O incidente expõe um risco sistêmico em bridges que confiam em contratos de terceiros sem auditoria contínua, especialmente quando a infraestrutura de privacidade impede a transparência necessária para detecção precoce.

Por que isso importa

Esse ataque não é só sobre perda financeira, é um alerta sobre como bridges descentralizados ainda operam em zonas cinzentas de responsabilidade. A Secret Network não desenvolveu o contrato, mas o hospedou. A Axelar não o mantém, mas o integra. Ninguém assumiu a responsabilidade por vigiar o código, e o resultado foi um dano coletivo. O fato de o ataque ter sido possível por quase dois anos mostra que a indústria ainda prioriza velocidade de integração sobre segurança contínua. Para projetos que dependem de cross-chain, isso significa que mesmo contratos bem documentados podem se tornar armadilhas se não forem auditados periodicamente. A suspensão do bridge deixa a Secret Network isolada, e a recuperação dos ativos depende agora de exchanges e autoridades, não de mecanismos autônomos.

Linha do tempo

  1. Contrato CW20-ICS20 é implantado na Secret Network com dois checks de validação comentados.

  2. Atualização de bytecode do contrato adiciona novas funcionalidades, mas mantém os checks desativados.

  3. Atacante inicia exploração da falha, cunhando tokens wrapped sem lastro.

  4. Última transação maliciosa é realizada; escrow do bridge fica esgotado.

  5. Transferência legítima de usuário falha por falta de saldo no escrow, revelando o ataque.

  6. Secret Network e Axelar confirmam o incidente e suspendem o bridge.

  7. CEVIU News publica análise aprofundada do exploit e suas implicações para a segurança de bridges cross-chain.

Perguntas frequentes

O que é o contrato CW20-ICS20 e por que ele foi o alvo?

O CW20-ICS20 é um contrato inteligente que permite a conversão de tokens nativos da Secret Network em versões wrapped, compatíveis com outros chains via IBC. Ele foi o alvo porque, ao comentar dois checks de validação, os desenvolvedores removeram as camadas de segurança que garantiam que cada token mintado tivesse lastro real. Isso transformou o contrato em uma máquina de cunhar dinheiro sem lastro.

Por que a criptografia da Secret Network ajudou o atacante?

A Secret Network usa criptografia de transações por padrão, o que protege a privacidade dos usuários, mas também oculta o movimento de fundos dentro do bridge. Enquanto os saldos do escrow não eram visíveis na blockchain pública, o atacante pôde cunhar tokens sem lastro sem que ninguém percebesse o desequilíbrio até que o fundo fosse esgotado.

A Axelar é responsável pelo ataque?

Não. A Axelar declarou que o contrato explorado não foi desenvolvido, implantado ou mantido por sua equipe. Ela apenas integra o bridge da Secret Network. A falha reside exclusivamente no código da Secret Network, mas a falta de coordenação entre as equipes deixou um vazio de responsabilidade que o atacante explorou.

Quais ativos foram roubados e onde eles foram movidos?

Sete tokens wrapped da Axelar foram roubados: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB e sawstETH. Segundo o relatório da Common Prefix, os ativos foram rastreados até Osmosis e depois para a Ethereum, onde foram convertidos ou depositados em exchanges. A equipe da Secret Network e da Axelar estão em contato com plataformas para tentar bloquear ou rastrear os fundos.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Cripto
Publicado
24 de junho de 2026
Editoria
CEVIU Cripto

Quer receber mais sobre CEVIU Cripto?

Conteúdo curado diariamente, direto no seu e-mail.

Assinar newsletterVer mais de CEVIU Cripto
Conteúdo curado diariamenteDiversas categoriasCancele quando quiser