Un bug de « mint infini » sur le bridge Axelar de Secret Network a permis à un pirate de siphonner 4,67 millions de dollars, une attaque restée indétectée durant sept jours. Signalé le 21 juin 2026, l’exploit a donné à l’attaquant tout le temps nécessaire pour déplacer les fonds vers Ethereum et plusieurs exchanges centralisés.

Hack Secret Network : 4,67 M$ en 7 jours 4,67 millions de dollars ont été drainés via un bug de mint infini sur le bridge Axelar de Secret Network, une attaque passée inaperçue pendant 7 jours. 4,67 M$ Secret Network Bug mint infini · Bridge Axelar Détection après 7 jours · Juin 2026

Comment le pirate a-t-il exploité le bridge Axelar ?

L’attaquant a ciblé une faille de type « mint infini » dans le contrat intelligent du bridge reliant Secret Network à Axelar. Le bug permettait de générer des tokens sans bornes en contournant les mécanismes de verrouillage préalable, pour un total de 4,67 millions de dollars d’actifs fictifs.

L’architecture cross-chain repose sur un principe simple : un actif est verrouillé sur une chaîne pour en émettre une représentation sur une autre. Quand une erreur logique supprime l’étape de verrouillage, le pont se transforme en machine à créer de la valeur inexistante. Ce scénario n’est pas sans rappeler le piratage du bridge Horizon sur Harmony en 2022, où 100 millions de dollars avaient été dérobés via une mécanique comparable.

Pourquoi l’attaque est-elle passée inaperçue sept jours ?

Le laps de temps entre l’exploit et sa détection est rare. Dans la plupart des hacks DeFi majeurs, les équipes de sécurité identifient l’anomalie en quelques heures. Ici, le pirate a bénéficié d’une semaine pour déplacer les fonds de Secret Network vers Ethereum, puis vers plusieurs exchanges centralisés.

Ce délai anormalement long expose les angles morts de la surveillance on-chain sur les bridges. Les transferts vers des plateformes d’échange suggèrent une tentative de conversion rapide en monnaie fiduciaire ou de dilution du butin sur des paires de trading peu surveillées. Des audits plus poussés sur ce type de contrats auraient pu révéler la vulnérabilité avant qu’elle ne soit exploitée.

Pourquoi Ethereum était-il la destination logique du butin ?

Le pirate a utilisé le même bridge Axelar pour rapatrier la valeur sur Ethereum. Ce choix répond à une logique de liquidité : la blockchain offre un écosystème dense de protocoles capables de masquer l’origine des fonds malgré la traçabilité publique.

Les fonds ont ensuite été dispersés vers plusieurs exchanges, une technique classique pour réduire le risque de gel. Ce mode opératoire rappelle l’attaque du pont X-Bridge, où 80 millions de dollars avaient suivi un parcours similaire après l’exploit.

Questions fréquentes

Qu’est-ce qu’un bug de mint infini sur un bridge ?

Un bug de mint infini est une faille dans le contrat intelligent d’un bridge qui permet de créer des tokens sans effectuer le verrouillage correspondant sur la chaîne source. L’attaquant génère des actifs fictifs qu’il échange contre de la valeur réelle, vidant les réserves du protocole.

Comment le pirate a-t-il pu rester non détecté pendant 7 jours ?

Les systèmes de surveillance du protocole Secret Network n’ont pas identifié l’anomalie de mint pendant une semaine. Les alertes on-chain étaient insuffisantes pour signaler la frappe massive de tokens sans verrouillage correspondant sur la chaîne source.

Combien de hacks de bridges ont eu lieu depuis 2022 ?

Les pertes cumulées des bridges inter-blockchain dépassent 2 milliards de dollars depuis 2022. Ronin (620 M$), Horizon (100 M$) et Nomad (190 M$) figurent parmi les incidents les plus marquants, faisant des ponts le maillon le plus fragile de la finance décentralisée.

Pourquoi les attaquants ciblent-ils les bridges ?

Les bridges concentrent d’énormes liquidités verrouillées entre plusieurs blockchains, avec des contrats complexes et souvent peu audités. La moindre faille logique offre un accès direct à la totalité des fonds en réserve.

À retenir

Le hack de Secret Network, estimé à 4,67 millions de dollars, ne figure pas parmi les plus gros piratages DeFi. Mais les sept jours de latence avant détection révèlent une faille critique dans la surveillance des flux inter-chaînes. Sans renforcement des alertes on-chain, ce scénario se répétera à plus grande échelle.

Sources

Signal Baissier
Impact Modéré
Nous ajouter à vos sources préférées sur Google