Новини криптоміра

21.06.2026
13:45

Злом мосту Axelar та Secret Network: вразливість «нескінченного карбування» обійшлася у $4,67 млн

хакеры, перемещение средств

19 червня блокчейн-проект Axelar офіційно підтвердив факт злому мосту, що з'єднує його мережу з протоколом Secret Network. Зловмисник зумів вивести приблизно $4,67 млн, скориставшись критичною вразливістю, відомою як «нескінченний мінт» (infinite mint bug). Примітно, що крадіжка залишалася непоміченою протягом цілих семи днів.

Як було реалізовано злом?

Згідно з аналізом, проведеним командою Common Prefix — основним розробником Axelar, прогалину було виявлено в смарт-контракті ICS-20 на стороні Secret, який забезпечує роботу IBC-з'єднання в екосистемі Cosmos. Контракт створював «обгорнуті» версії активів (saToken), але не перевіряв, з якого саме каналу надходила вхідна транзакція. Цей недолік дозволив атакуючому сфальсифікувати депозити та випускати токени без будь-якого реального забезпечення. Оскільки операції не вимагали дозволу, зловмисник запустив у мережі Cosmos власний ланцюжок з єдиним валідатором, з якого надсилав пакети з фальшивими номіналами активів.

Реакція та наслідки

Комітет з надзвичайних ситуацій Axelar негайно відключив з'єднання Secret та Secret-SNIP, щоб зупинити нові несанкціоновані перекази. Наразі команда координує дії з біржами та правоохоронними органами для відстеження викрадених коштів та сприяння їх поверненню. Важливо підкреслити, що інцидент торкнувся лише монет saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network залишилися недоторканими.

Ринок не панікує

Незважаючи на серйозність інциденту, реакція ринку виявилася несподіваною. Ціна токена Secret (SCRT) у момент підскочила майже на 6%, досягнувши позначки $0,06. Після невеликої корекції актив торгується в районі $0,058, зберігаючи добове зростання близько 3%. Капіталізація проекту становить приблизно $20 млн. Варто зазначити, що це крапля в морі порівняно з історичним максимумом SCRT у жовтні 2021 року, коли токен коштував $10,64 — тобто на 99,5% вище поточних котирувань.

Експертний коментар: Даний інцидент — чергове нагадування про те, що безпека кросчейн-мостів залишається однією з найслабших точок у DeFi. Вразливість «нескінченного мінту» — це класичний баг, який мав бути виявлений на етапі аудиту. Той факт, що крадіжка залишалася непоміченою протягом тижня, свідчить про недостатній рівень моніторингу on-chain активності. Незважаючи на тимчасове зростання SCRT, довгострокова довіра до проекту може похитнутися, якщо команда не продемонструє прозорість у розслідуванні та не впровадить надійніші механізми захисту.