Cointelegraphは22日、Secret Networkのクロスチェーンブリッジで、スマートコントラクトの無限発行（ミント）バグを悪用した攻撃が発生し、約467万ドル（約7億円）が不正流出したと報じた。攻撃は6月10日に起き、発覚は1週間後の6月17日だった。

ブロックチェーン調査会社のCommon Prefixによると、流出元となったアカウントでクロスチェーン取引が残高不足エラーとなったことをきっかけに、不審な動きが確認された。

問題となったのは、スマートコントラクトがトークン発行前に入金元を検証していなかった点だ。攻撃者は自ら管理するチャネルを使い、裏付け資産のない偽のsaTokenを不正に発行した。

その後、不正に作成したAxelarのラップ資産であるsaTokenを、正規チャネル経由でエスクローに保管されていた実在のラップ資産と交換し、資金を引き出したという。

流出した資産には、saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB、sawstETHが含まれる。

Common Prefixによると、攻撃者はこれらの資産をEthereumに移してETHに交換した後、約30のウォレットに分散送金した。さらに、KuCoin、ChangeNOW、HitBTCなど複数の取引所に入金したという。

Secret Networkは、「Secret上でAxelarブリッジ由来のsaXXXトークンを保有している場合、当該トークンの担保が影響を受け、資金が失われた可能性がある」と説明した。一方で、SecretのネイティブトークンであるSCRTは今回のインシデントの影響を受けていないとしている。なお、SCRTは2021年の最高値から99％下落した0.058ドルで取引されている。

Axelarは「AxelarやIBCは侵害されていない」と説明した。悪用されたトークンのスマートコントラクトは、Axelarが開発・配布・管理したものではないとし、Axelarのファイアウォールが被害の他チェーンへの波及を防いだとしている。