Exploração em rede Secret Network: como um bug de “mint infinito” permitiu roubo de US$ 4,7 milhões

Um contrato inteligente vulnerável na Secret Network foi explorado por meio de um mecanismo conhecido como “mint infinito”, permitindo que um invasor criasse versões embrulhadas de ativos sem lastro e drenasse fundos avaliados em US$ 4,7 milhões. O ataque ocorreu em 10 de junho, mas só foi detectado sete dias depois, quando uma transação cruzada falhou por falta de fundos na conta esvaziada. A descoberta tardia evidenciou não apenas a fragilidade técnica, mas também a importância de auditorias contínuas e mecanismos de monitoramento em tempo real para protocolos de blockchain, especialmente aqueles voltados à privacidade.

O exploit aproveitou uma falha na lógica de verificação do contrato, que não validava a origem dos depósitos recebidos antes de emitir novos tokens embrulhados (saTokens). Ao forjar transferências por meio de um canal controlado pelo invasor, foi possível “mintar” tokens como saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB e sawstETH sem que houvesse ativos reais depositados como garantia. Esses tokens falsos foram então resgatados por canais legítimos, drenando os ativos reais mantidos em custódia pela rede Axelar. O prejuízo total foi confirmado em US$ 4,67 milhões, segundo relatório de uma empresa de pesquisa blockchain.

O que é um bug de “mint infinito” e por que ele é tão perigoso

O termo “mint infinito” refere-se a uma vulnerabilidade em que um contrato inteligente permite a criação ilimitada de novos tokens sem a necessidade de depósitos correspondentes. No caso da Secret Network, o contrato responsável pela emissão de tokens embrulhados (saTokens) não verificava se os fundos recebidos vinham de um canal legítimo antes de emitir novas unidades. Isso possibilitou que um invasor, controlando o canal de entrada, forjasse depósitos e recebesse tokens saTokens em troca, sem nunca ter depositado os ativos originais.

Esse tipo de falha é especialmente crítica em protocolos de interoperabilidade como o Axelar, que conecta diferentes blockchains. Ao criar tokens sem lastro, o invasor pôde explorar a confiança depositada pelos usuários nos tokens embrulhados, que são tradicionalmente considerados equivalentes aos ativos originais. A ausência de verificação cruzada entre redes permitiu que o ataque passasse despercebido por uma semana, até que uma transação cruzada falhasse por falta de fundos, expondo a inconsistência.

Como o ataque foi executado: do contrato vulnerável ao mercado

O ataque teve início em 10 de junho, quando o invasor interagiu com o contrato inteligente defeituoso na Secret Network. Por meio de um canal controlado, o invasor enviou solicitações de depósito falsas, que o contrato interpretou como legítimas. Em resposta, o contrato emitiu novos saTokens correspondentes aos ativos solicitados — USDT, USDC, DAI, ETH, BTC, BNB e stETH embrulhados — sem que houvesse ativos reais depositados na rede Axelar.

Após obter os tokens sem lastro, o invasor os resgatou por meio de canais oficiais, drenando os ativos reais mantidos em custódia pela Axelar. Os fundos reais — agora em posse do invasor — foram então convertidos em Ether (ETH) na blockchain Ethereum. Em seguida, a quantia foi dividida em cerca de 30 carteiras diferentes, uma estratégia comum para dificultar o rastreamento e a recuperação dos fundos. Por fim, os valores foram depositados em exchanges centralizadas, incluindo KuCoin, ChangeNow e HitBTC, onde poderiam ser convertidos em moedas fiduciárias ou outras criptomoedas.

Por que a detecção demorou uma semana

A demora na descoberta do exploit pode ser atribuída a vários fatores, todos relacionados à falta de monitoramento em tempo real e à complexidade das transações cruzadas. O primeiro indício surgiu quando uma transação legítima tentou acessar os fundos na conta esvaziada e falhou devido à “insuficiência de fundos”. Esse erro inesperado chamou a atenção dos pesquisadores, que passaram a investigar a origem da inconsistência.

Além disso, o contrato vulnerável não possuía mecanismos de alerta automático para emissões anômalas de tokens. Em blockchains de privacidade como a Secret Network, onde as transações são ocultadas por padrão, a ausência de transparência em tempo real agrava o problema. Sem ferramentas de análise on-chain avançada ou auditorias frequentes, vulnerabilidades desse tipo podem permanecer ocultas por longos períodos, permitindo que invasores acumulem grandes quantias antes de serem detectados.

Impacto no ecossistema Secret Network e Axelar

O exploit não apenas resultou em prejuízo financeiro direto, mas também abalou a confiança dos usuários nos tokens embrulhados da Axelar na Secret Network. Em comunicado oficial, a Secret Network alertou os detentores de saXXX tokens: “Se você possui tokens saXXX da Axelar na Secret Network, esteja ciente de que o lastro deles foi afetado e seus fundos podem estar em risco.” Essa mensagem evidencia a gravidade da situação, pois tokens embrulhados são amplamente utilizados como meio de transferência de valor entre blockchains sem a necessidade de conversões diretas.

O incidente também expôs fragilidades na interoperabilidade entre redes. Embora o Axelar seja projetado para conectar ecossistemas distintos de forma descentralizada, a dependência de contratos inteligentes seguros em cada ponta da ponte é fundamental. A exploração de uma única vulnerabilidade em um contrato pode comprometer toda a ponte, colocando em risco não apenas a rede de origem, mas também aquelas conectadas. Isso levanta questões sobre a necessidade de auditorias independentes e implementação de padrões de segurança mais rígidos para protocolos de interoperabilidade.

Comparação com outros ataques recentes no setor

O ataque à Secret Network faz parte de uma onda de explorações que atingiu o setor de criptomoedas em junho de 2026. Segundo dados do DeFiLlama, pelo menos 22 protocolos foram alvo de ataques somente naquele mês, com prejuízos superiores a US$ 50 milhões. Entre os casos mais graves estão o Humanity Protocol (US$ 32 milhões) e a Syscoin Bridge (US$ 8 milhões), ambos envolvendo falhas em pontes cross-chain.

O que diferencia o caso da Secret Network é a natureza técnica do bug — um “mint infinito” — que explora uma lógica defeituosa no contrato, em vez de uma vulnerabilidade de assinatura ou de acesso. Enquanto muitos ataques recentes exploram falhas em mecanismos de consenso ou chaves privadas comprometidas, este caso demonstra como um erro de programação simples pode ter consequências devastadoras em um ecossistema complexo e interconectado.

O que os usuários de tokens embrulhados devem fazer agora

Para os usuários que detêm tokens saXXX na Secret Network, a recomendação imediata é cessar quaisquer transações envolvendo esses ativos até que uma auditoria completa seja realizada e o problema seja resolvido. Embora a Secret Network tenha alertado sobre o risco de perda de fundos, ainda não está claro se haverá um processo de compensação ou recuperação dos valores roubados.

Além disso, é fundamental que os detentores verifiquem o status de seus tokens em plataformas confiáveis e considerem mover seus ativos para redes onde a segurança dos contratos tenha sido auditada recentemente. Em casos de tokens embrulhados, a preferência deve ser por soluções que ofereçam transparência total sobre as reservas e mecanismos de verificação em tempo real.

Lições para desenvolvedores e protocolos de blockchain

O incidente na Secret Network oferece várias lições importantes para desenvolvedores e operadores de protocolos de blockchain. Em primeiro lugar, a necessidade de auditorias de segurança independentes e contínuas não pode ser subestimada. Contratos inteligentes, especialmente aqueles que lidam com interoperabilidade e emissões de tokens, devem ser revisados por especialistas antes da implantação e após quaisquer atualizações significativas.

Em segundo lugar, a implementação de mecanismos de monitoramento em tempo real é essencial para detectar atividades suspeitas precocemente. Ferramentas de análise on-chain, alertas automáticos para emissões anormais e verificações cruzadas entre redes podem ajudar a identificar vulnerabilidades antes que elas sejam exploradas. Protocolos de privacidade como a Secret Network devem, adicionalmente, considerar a implementação de dashboards públicos ou relatórios semanais para aumentar a transparência.

Por fim, a interoperabilidade entre blockchains deve ser construída sobre fundações sólidas de segurança. Pontes cross-chain e contratos de embrulho de tokens são componentes críticos da infraestrutura DeFi, e sua falha pode ter efeitos em cascata em todo o ecossistema. A adoção de padrões como o ERC-20 para tokens embrulhados, juntamente com verificações rigorosas de lastro, pode reduzir significativamente o risco de explorações semelhantes no futuro.

O futuro da Secret Network e da confiança em protocolos de privacidade

Embora o exploit tenha causado prejuízos significativos e danos à reputação, a Secret Network tem a oportunidade de se recuperar fortalecida. A equipe pode demonstrar comprometimento com a segurança ao publicar um relatório detalhado das causas do ataque, as medidas corretivas implementadas e um cronograma para restauração da confiança dos usuários.

Para a comunidade de criptomoedas, o caso reforça a importância de apoiar protocolos que priorizam segurança e transparência, mesmo quando se trata de soluções focadas em privacidade. Protocolos de privacidade como a Secret Network desempenham um papel crucial no ecossistema, permitindo transações confidenciais sem abrir mão de funcionalidades avançadas. No entanto, a privacidade não pode ser usada como justificativa para negligência em segurança.

À medida que o setor amadurece, espera-se que incidentes como este se tornem menos frequentes, graças à adoção de melhores práticas, ferramentas de segurança mais avançadas e uma cultura de responsabilidade entre desenvolvedores e usuários. Enquanto isso, a lição mais clara para todos os envolvidos é simples: na blockchain, confiança não é dada, é construída — e mantida — por meio de segurança rigorosa e transparência constante.