Новини криптоміра

21.06.2026
13:05

Злом мосту Axelar та Secret Network: вразливість «нескінченного карбування» призвела до втрати $4,67 млн

хакеры hackers, перемещение средств 2

19 червня 2026 року блокчейн-проєкт Axelar офіційно підтвердив факт злому кроссчейн-мосту, що з'єднує його з протоколом Secret Network. У результаті інциденту зловмисник вивів кошти на суму близько $4,67 млн, використовуючи критичну вразливість, відому як «нескінченний мінт» (infinite mint bug).

Деталі атаки: як це сталося

Крадіжка залишалася непоміченою протягом семи днів, що вказує на недостатню оперативність систем моніторингу. Аналіз, проведений командою Common Prefix — основним розробником Axelar, — показав, що баг був закладений у смарт-контракті ICS-20, розгорнутому на стороні Secret Network у рамках IBC-з'єднання екосистеми Cosmos. Цей контракт відповідав за створення «обгорнутих» версій активів (saToken), але не перевіряв легітимність каналу, з якого надходила вхідна транзакція.

Атакуючий скористався цим недоліком, щоб сфальсифікувати депозити. Він запустив у Cosmos власний ланцюжок з єдиним валідатором, з якого надсилав пакети з підробленими номіналами активів. Оскільки операції в мережі були бездозвільними, контракт автоматично випускав токени без будь-якого реального забезпечення.

Реакція та масштаби збитків

Комітет з надзвичайних ситуацій Axelar оперативно відключив з'єднання Secret та Secret-SNIP, щоб заблокувати подальші несанкціоновані перекази. Наразі команда координує дії з біржами та правоохоронними органами для відстеження викрадених коштів та їх можливого повернення.

Важливо підкреслити, що інцидент торкнувся виключно монет saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання, а також нативні активи Secret Network залишилися недоторканими. Це свідчить про те, що вразливість мала локальний характер і була пов'язана з конкретною реалізацією контракту.

Ринок не панікує: SCRT демонструє зростання

Всупереч очікуванням, новина про злом не викликала обвалу токена Secret (SCRT). Навпаки, в моменті його ціна підскочила майже на 6%, досягнувши позначки $0,06. Після невеликої корекції актив торгується в районі $0,058, зберігаючи добове зростання близько 3%. Капіталізація проєкту становить приблизно $20 млн.

Для контексту: на історичному максимумі в жовтні 2021 року SCRT коштував $10,64, що на 99,5% перевищує поточні котирування. Таке різке падіння з пікових значень робить токен високоспекулятивним, і поточна реакція ринку виглядає радше як відскок на тлі фіксації вразливості, аніж як ознака відновлення довіри.

Нагадаю, що в червні хакери двічі атакували застарілі контракти в L2-мережі Aztec, завдавши збитків на $2,19 млн та $2,15 млн відповідно. Ці інциденти підкреслюють системну проблему: навіть за наявності сучасних протоколів безпеки, вразливості в застарілому коді або неперевірених контрактах залишаються «ахіллесовою п'ятою» DeFi-екосистеми.

Експертний коментар Cryptalist: Цей інцидент — ще одне нагадування про те, що кроссчейн-мости залишаються головною ціллю атак. Вразливість «нескінченного мінту» — класичний приклад того, як недолік валідації вхідних даних може призвести до повної компрометації пулу ліквідності. Інвесторам варто звернути увагу на проєкти, які впроваджують аудит смарт-контрактів у реальному часі та механізми автоматичного блокування підозрілих транзакцій. Без цього будь-яка інтеграція між блокчейнами несе в собі значний ризик.