Secret NetworkのAxelarブリッジが悪用され、約467万ドル(約6億7,000万円)相当の暗号資産が不正流出した。攻撃は2026年6月10日に発生したが、7日間にわたって誰にも気づかれなかった。ブロックチェーン調査企業Common Prefixの事後分析と、Secret Networkの公式発表で明らかになっている。
プライバシー重視のネットワークで残高が暗号化されている特性が、検知の遅れにつながった。加えて、ブリッジの設計と監視体制をめぐり、AxelarとSecret Networkの間で責任の所在に関する見解の相違が表れている。2026年に入ってからクロスチェーンブリッジを標的とした攻撃は後を絶たず、今回の事例はその脆弱性を改めて浮き彫りにした。
IBCの柔軟性を逆手に取った攻撃の仕組み
Common Prefixが6月20日に公開した事後分析によると、攻撃者はSecret Network上に展開されたCW20-ICS20コントラクトの改変バージョンに存在した欠陥を突いた。このコントラクトは、Axelarからブリッジされてくる資産をSecret Network上でラップトークン「saToken」として発行する役割を担う。
IBC(Inter-Blockchain Communication、ブロックチェーン間通信プロトコル)では、誰でも許可なく新しい通信チャネルを開設できる。攻撃者はこの仕様を利用し、検証者が1つだけのCosmosチェーンを自作。そのチェーンからブリッジコントラクトに偽のパケットを送り付けた。コントラクトは受信パケットがAxelarの正規チャネル経由かどうかを検証していなかったため、裏付けのないsaTokenを発行してしまった。発行されたsaTokenを正規のAxelarチャネル経由で償還することで、エスクロー(預託)口座に保管されていた実物の資産が引き出された。
2023年から潜在していた脆弱性
この脆弱性は新たに作り込まれたものではない。Common Prefixの調査では、問題のコントラクトが2023年初頭にデプロイされた時点で、すでに同様の検証ロジックが欠落していた。2026年3月5日に行われたバイトコードの移行でも欠陥はそのまま引き継がれた。6月10日の攻撃は、移行後のコードを標的に実行されたことになる。
影響を受けたsaTokenは7銘柄に及ぶ。saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB、sawstETHだ。攻撃者はこれらすべてを標的とし、合計で467万ドル相当を引き出した。
暗号化された残高が検知を遅らせた
流出に7日間も気づかれなかった最大の要因は、Secret Networkの仕様そのものにある。Secret Networkはプライバシー保護を目的として設計されており、オンチェーンの残高はデフォルトで暗号化されている。Ethereumのように、プールの残高が一目で確認できる仕組みではない。
異常が表面化したのは6月17日。Axelar上での通常のクロスチェーン転送が「エスクロー口座の残高不足」というエラーで失敗した。ここで初めて調査が始まり、6月10日付の7回の引き出しが不正なものだったと特定された。
監視と緊急停止の不在
Secret Networkは自社フォーラムに投稿した説明文の中で、Axelar側のブリッジインフラに「異常検知や緊急停止の仕組みが事実上機能していなかった」と指摘している。大量かつ不審な転送が発生しても、資産がほぼ引き出されるまで何のアラートも作動しなかったという。
もともとこのブリッジコントラクトは、Axelarとの統合にあたり、従来のエスクローモデルから発行モデルに変更されていた。その再設計の過程で、転送元を検証する2つの機能が取り除かれていたとSecret側は説明する。さらに、Axelarは統合に際して外部監査を要求しなかったとも主張している。
AxelarとSecret Network、責任の所在で平行線
流出発覚後、Axelarの緊急委員会はSecret NetworkおよびSecret-SNIPとの接続を遮断した。クロスチェーンルーターのSquidもフロントエンドからSecretを除外している。Axelarは「Axelarの中核プロトコルもIBC自体も侵害されていない」との声明を出し、悪用されたトークンコントラクトは自社が開発・デプロイ・保守したものではないと強調した。
一方でSecret Networkは、攻撃者のAxelarウォレットに約77万ドル分の盗難資産が残っていることを確認しており、Axelarチームに資産凍結を要請した。だがこの要請は受け入れられなかった。The Blockが確認したAxelarscanのデータでは、攻撃者のウォレットには現在も6.2 WBTC、約24万 USDC、64 WBNB、249 AXLが残り、公開時の価格で約67万2,000ドル相当に上る。
2026年に相次ぐクロスチェーン攻撃の流れ
この攻撃は単独の事例ではない。2026年はクロスチェーンブリッジを狙った大規模流出が続いており、業界全体で対応策の再考を迫られている。4月にはKelp DAOのLayerZeroベースブリッジから約2億9,200万ドルものrsETHが流出。影響はAaveにも波及し、コミュニティ主導の復旧策でなんとか収束した経緯がある。
Zcashの脆弱性との共通点
プライバシー重視のネットワークで潜在的な鋳造リスクが問題化するという点では、先ごろ発覚したZcashの脆弱性にも通じるものがある。Zcashのケースでは、悪用されればプール内に「無制限の偽造トークン」を作り出せる可能性が指摘され、開示後にZECトークンの価格が30%以上急落した。
もっとも、今回はSCRTトークンにそのような急落は起きていない。The Blockの価格ページによれば、事件開示にもかかわらずSCRTは過去1日で5.6%上昇し、AXLも約1.3%上昇した。市場は今回の事件を限定的なものと受け止めているようだ。
盗難資金の追跡と今後の見通し
Common Prefixの追跡調査により、盗まれた資金の流れはある程度明らかになっている。攻撃者はまずAxelarに資金を引き出し、Osmosisの自動パケット転送機能を使って経路を隠蔽。その後Ethereumにブリッジし、CoW Protocolで大半をETHに交換した。ETHは約30回に分割されて新規ウォレットに送金され、最終的にKuCoin、ChangeNow、HitBTCの入金アドレスに到達している。
Axelarは取引所や法執行機関との連携を進めているが、Secret Networkとの接続再開の時期は明らかにしていない。Secret側は影響を受けたコントラクトの停止と移行を進めている。
この記事のポイント
- Secret NetworkのAxelarブリッジから約467万ドルが不正流出し、7日間検知されなかった
- 攻撃者はIBCのパーミッションレスなチャネル開設を悪用し、コントラクトの検証不足を突いた
- プライバシー保護で残高が暗号化されていたため、異常をすぐに把握できなかった
- AxelarとSecret Networkの間で、監視責任と凍結対応をめぐる見解の相違が生じている
- 2026年はKelp DAO事件など、クロスチェーンブリッジ攻撃が相次ぐ年になっている
暗号資産とブロックチェーンの可能性を追求するエミリー。
暗号資産投資、DeFi、NFT、WEB3、メタバースといった最先端分野を深く理解し、「エミリーズ・クリプト・インサイダー」を運営。
分かりやすい解説で、ブロックチェーン革命の潮流を一般に広めることを目指す。初心者から上級者まで、最新情報を求めるすべての人に役立つ情報発信を心がけている。