Le bug "infinite mint" expliqué
Le 10 juin, un bug critique dans un smart contract du bridge Axelar sur Secret Network a permis à un attaquant de créer des versions non adossées ("wrapped") de plusieurs actifs majeurs, provoquant la
Les tokens concernés incluent saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB et sawstETH — tous issus du mécanisme de wrapping d’Axelar pour permettre leur utilisation sur Secret Network.
L’exploit n’a été découvert que le 17 juin, soit sept jours après la création frauduleuse des saTokens.
Pourquoi l’exploit a pris une semaine
L’attaque est restée inaperçue pendant sept jours. Ce n’est qu’une semaine après le 10 juin qu’une anomalie a été détectée, lorsqu’une transaction cross-chain a généré une erreur "insufficient funds". Ce délai s’explique par la nature discrète du bug : l’attaquant utilisait des canaux classiques pour échanger ses tokens frauduleux contre les véritables actifs, rendant la détection difficile.
La faille n’a donc été révélée que tardivement, alors que les fonds étaient déjà largement dispersés.
Des fonds dispatchés sur 30 portefeuilles
Après avoir généré les tokens Axelar-wrapped sans collatéral (appelés saTokens), l’attaquant a procédé à leur échange contre des actifs réels via les outils cross-chain. Il a ensuite transféré ces fonds vers Ethereum avant de les convertir en Ether (ETH) et de les répartir sur environ 30 portefeuilles différents. Cette stratégie visait à brouiller les pistes et compliquer le suivi des fonds volés.
Une partie significative des sommes siphonnées a ensuite été déposée sur plusieurs exchanges centralisés tels que KuCoin, ChangeNow et HitBTC. Néanmoins, d’après theblock.co, environ 770 000 dollars restent encore bloqués dans un portefeuille Axelar contrôlé par l’attaquant — mais Axelar aurait refusé la demande de Secret Network visant à geler ces fonds.
Voir Aussi
Les tokens natifs épargnés, pour cette fois
Malgré l’ampleur du préjudice financier et la sophistication technique de l’attaque, le token natif SCRT du Secret Network n’a pas été affecté par cet incident ; il s’échange actuellement autour de 0,058 dollar, soit une chute vertigineuse de 99 % depuis son sommet historique atteint en 2021.
Pourquoi ça compte
Cet exploit figure parmi les plus importants du mois dans l’écosystème crypto selon DeFiLlama : seul Humanity Protocol (32 millions de dollars) et Syscoin Bridge (8 millions) affichent un bilan plus lourd en juin. L’affaire souligne la fragilité persistante des bridges inter-chaînes et rappelle que même des protocoles réputés peuvent être victimes d’erreurs critiques dans leur gestion des flux cross-chain.
Ce qu'il faut savoir
- •Le 10 juin, un bug "infinite mint" sur Secret Network a permis de voler 4,67 millions de dollars via des saTokens Axelar-wrapped.
- •L’exploit est resté inaperçu pendant 7 jours et a été détecté après une erreur "insufficient funds" lors d’une transaction cross-chain.
- •770 000 $ restent dans un portefeuille Axelar de l’attaquant, mais Axelar a refusé de geler ces fonds à la demande de Secret Network.
Les prochains développements à suivre
Environ 770 000 $ issus de l’exploit restent dans le portefeuille Axelar de l’attaquant, mais Axelar a refusé la demande de Secret Network de geler ces fonds ; il reste incertain si ces actifs pourront être récupérés ou déplacés prochainement.