Uma falha de mintagem infinita em contrato cross-chain permitiu que um atacante drenasse US$ 4,67 milhões da bridge entre Secret Network e Axelar em sete dias sem que ninguém percebesse.
A bridge cross-chain que conecta a Secret Network à rede Axelar foi suspensa após a descoberta de um exploit que drenou US$ 4,67 milhões em tokens wrapped. O ataque, que explorou uma falha antiga em um contrato do tipo CW20-ICS20, ocorreu entre os dias 10 e 17 de junho — sete dias completos sem que os sistemas de monitoramento emitissem qualquer alerta.
Segundo a The Defiant, o atacante se aproveitou de uma vulnerabilidade de mintagem infinita presente no contrato responsável pela ponte entre as duas redes. A falha permitia criar tokens wrapped sem lastro real, que depois eram trocados ou retirados da liquidez disponível na bridge. Sete ativos diferentes foram afetados no período.
O caso levanta uma questão recorrente no ecossistema DeFi: contratos com falhas antigas, que nunca passaram por auditoria atualizada, permanecem ativos e vulneráveis por meses ou anos. Neste caso, a brecha estava presente no código há um longo período antes de ser explorada.
O que é uma falha de mintagem infinita?
Em contratos de bridge, tokens “wrapped” são criados para representar ativos de outra rede. Uma falha de mintagem infinita permite que um agente mal-intencionado crie esses tokens sem depositar o ativo original como garantia — essencialmente fabricando valor do nada e depois sacando liquidez real da ponte.
Sete dias sem detecção: o que falhou?
O intervalo de uma semana entre o início do exploit e sua identificação é um dos pontos mais graves do incidente. Sistemas de monitoramento on-chain existem justamente para detectar movimentações atípicas em contratos de alto valor — e, neste caso, não cumpriram esse papel.
A Secret Network anunciou a suspensão da bridge assim que o ataque foi identificado e informou que uma investigação está em andamento. Não há, até o momento, confirmação sobre a identidade do atacante ou sobre eventual recuperação dos fundos.
O exploit correu de 10 a 17 de junho — sete dias completos antes de ser detectado e a bridge ser suspensa.
US$ 4,67 milhões em sete ativos wrapped distintos da Axelar foram esvaziados da bridge durante o período.
Vulnerabilidade de mintagem infinita em contrato CW20-ICS20, presente no código há anos sem correção.
Bridge suspensa. Investigação em andamento. Sem confirmação de recuperação de fundos até o momento.
🔗 Segurança em ambientes cross-chain
Bridges são historicamente os pontos mais vulneráveis do ecossistema cripto. Casos como Ronin (US$ 625 mi), Wormhole (US$ 320 mi) e Nomad (US$ 190 mi) já demonstraram o risco sistêmico dessas estruturas. Auditorias regulares e monitoramento on-chain em tempo real são considerados práticas mínimas de segurança para contratos que movimentam liquidez significativa. Para entender como golpes sofisticados se aproveitam de falhas técnicas e de usuários, veja o guia completo sobre phishing e IA no universo cripto.
O episódio reforça a importância de auditorias contínuas em contratos de infraestrutura DeFi, especialmente aqueles que gerenciam ativos cross-chain. Uma falha não explorada hoje pode ser descoberta e utilizada meses depois — como demonstrado neste caso.
Importante: não damos recomendação de investimento
Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.
Proteja seus ativos com uma hardware wallet
A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.
Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.
Leituras relacionadas
🌉 Como funcionam as bridges criptoSaiba o que são pontes cross-chain, para que servem e por que são alvos frequentes de exploits no ecossistema blockchain.
🛡️ Hardware wallets: para que servemDispositivos de armazenamento frio mantêm suas chaves privadas offline e fora do alcance de exploits em contratos.
Este conteúdo é de caráter informativo e não constitui recomendação de investimento. Criptomoedas são ativos voláteis; consulte um profissional antes de investir.