Новини криптоміра

21.06.2026
20:32

Злом мосту Axelar та Secret Network: вразливість «нескінченного карбування» обійшлася у $4,67 млн

хакеры hackers, перемещение средств 2

19 червня блокчейн-проєкт Axelar офіційно підтвердив факт злому свого міжмережевого мосту, що з'єднує його з протоколом Secret Network. У результаті атаки зловмисник вивів близько $4,67 млн, використовуючи критичну вразливість, відому як «нескінченний мінт».

Примітно, що крадіжка залишалася непоміченою протягом семи днів, що вказує на недостатню ефективність систем моніторингу в реальному часі. Основний розробник Axelar, команда Common Prefix, під час аналізу встановила, що баг був закладений у смарт-контракті ICS-20 на стороні Secret у рамках з'єднання Cosmos IBC. Проблема полягала в тому, що алгоритм створював «обгорнуті» версії активів (saToken), але не перевіряв, з якого саме каналу надходила вхідна транзакція. Це дозволило атакуючому сфальсифікувати депозити та випускати токени без будь-якого реального забезпечення.

Оскільки операції не вимагали дозволу, зловмисник запустив у Cosmos власний ланцюжок з одним валідатором, з якого пересилав пакети з фейковими номіналами активів. Це класичний приклад атаки на міжмережеві мости, де недолік перевірки каналів призводить до необмеженої емісії.

У відповідь на інцидент комітет з надзвичайних ситуацій Axelar негайно відключив з'єднання Secret та Secret-SNIP, щоб зупинити нові несанкціоновані перекази. Команда зараз координує дії з біржами та правоохоронними органами для відстеження коштів та сприяння їх поверненню. Важливо підкреслити, що інцидент обмежений монетами saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network не постраждали.

Незважаючи на шокуюче повідомлення про крадіжку, ринок відреагував парадоксально: ціна токена Secret (SCRT) миттєво підскочила майже на 6%, досягнувши $0,06. Після корекції актив торгується в районі $0,058, зберігаючи добове зростання близько 3%. Капіталізація становить приблизно $20 млн. Однак варто зазначити, що на історичному максимумі в жовтні 2021 року SCRT коштував $10,64, що на 99,5% перевищує поточні котирування. Це свідчить про глибокий ведмежий тренд, який не змогли переломити навіть новини про злом.

Цей інцидент нагадує про нещодавні атаки на застарілі контракти в L2-мережі Aztec, де за кілька днів хакери вивели $2,19 млн та $2,15 млн. Ринок міжмережевих мостів залишається однією з найуразливіших точок в екосистемі DeFi.

Експертний коментар: Даний злом — ще один доказ того, що архітектура міжмережевих мостів потребує фундаментального перегляду. Вразливість «нескінченного мінту» — це не випадкова помилка, а системна проблема, пов'язана з недостатньою валідацією крос-чейн повідомлень. Поки проєкти не впровадять багаторівневі перевірки та децентралізовані оракули для верифікації активів, подібні атаки будуть повторюватися. Ринок має бути готовим до подальших втрат, якщо не будуть вжиті превентивні заходи.