Новини криптоміра

21.06.2026
22:16

Злом мосту Axelar та Secret Network: вразливість «нескінченного карбування» коштувала $4,67 млн

19 червня команда блокчейн-проєкту Axelar розкрила деталі зламу кроссчейн-мосту, що з'єднує їхню мережу з протоколом Secret Network. Зловмисник використав критичну вразливість, відому як «нескінченний мінг» (infinite mint), і вивів цифрові активи на суму близько $4,67 млн. Примітно, що крадіжка залишалася непоміченою протягом семи днів — це свідчить про недостатню оперативність систем моніторингу в ланцюжку Secret.

Згідно з аналізом, проведеним провідним розробником Axelar — командою Common Prefix, баг було виявлено в смарт-контракті ICS-20, розгорнутому на стороні Secret Network у рамках IBC-з'єднання Cosmos. Алгоритм призначений для створення «обгорнутих» версій активів (saToken), однак він не перевіряв, з якого саме каналу надходить вхідна транзакція. Це дозволило атакуючому сфальсифікувати депозити та випускати токени без реального забезпечення. Оскільки операції не вимагали дозволу, хакер запустив у Cosmos власний ланцюжок з одним валідатором, з якого пересилав пакети з фіктивними номіналами активів.

Комітет з надзвичайних ситуацій Axelar оперативно відключив з'єднання Secret та Secret-SNIP, щоб зупинити нові несанкціоновані перекази. Команда вже координує дії з біржами та правоохоронними органами для відстеження коштів та їх можливого повернення. Важливо підкреслити: інцидент торкнувся лише монет saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network не постраждали.

Незважаючи на повідомлення про крадіжку, ціна токена Secret (SCRT) у моменті підскочила майже на 6%, досягнувши $0,06. Після корекції актив торгується в районі $0,058, зберігаючи добове зростання близько 3%. Капіталізація становить приблизно $20 млн. При цьому на історичному максимумі в жовтні 2021 року SCRT коштував $10,64 — це на 99,5% вище поточних котирувань. Така реакція ринку на злам виглядає парадоксальною, але може бути пов'язана з очікуваннями компенсацій або тимчасовим ажіотажем навколо новини.

Мій експертний коментар: Цей інцидент — чергове нагадування про те, що вразливості «нескінченного мінта» залишаються однією з найнебезпечніших загроз для кроссчейн-мостів. Відсутність перевірки джерела вхідних транзакцій у контрактах ICS-20 — це базова помилка проєктування, яка могла бути виявлена на етапі аудиту. Для інвесторів це сигнал: навіть великі проєкти з сильною командою не застраховані від подібних атак, і диверсифікація ризиків — не просто рекомендація, а необхідність.