Новини криптоміра

21.06.2026
23:01

Експлойт мосту Axelar та Secret Network: Хакер вкрав $4,67 млн через «нескінченну емісію»

19 червня блокчейн-інфраструктура Axelar підтвердила серйозний інцидент безпеки, пов'язаний із мостом, що з'єднує мережу з протоколом Secret Network. У результаті атаки зловмисник зміг вивести цифрові активи на суму близько $4,67 мільйона. Як показав мій аналіз, злом був заснований на класичній, але небезпечній вразливості, відомій як «нескінченний мінг» (infinite mint).

Згідно з результатами розслідування, проведеного основною командою розробників Axelar — Common Prefix, вразливість було виявлено в модифікованому смарт-контракті CW20-ICS20, який відповідає за обробку токенів на стороні Secret Network у рамках IBC-з'єднання з Cosmos. Критична помилка полягала в тому, що контракт не перевіряв, з якого саме каналу надходить вхідна транзакція. Алгоритм створював «обгорнуті» версії активів (saToken), але не верифікував легітимність джерела депозиту.

Це дозволило атакуючому сфабрикувати депозити та розпочати випуск токенів, що не мають реального забезпечення. Оскільки операції в мережі Cosmos не вимагають дозволу, хакер запустив власний сайдчейн з одним валідатором, з якого й пересилав фальшиві пакети з довільними номіналами активів. Примітно, що крадіжка залишалася непоміченою протягом цілих семи днів, що свідчить про недоліки в системах моніторингу.

Після виявлення інциденту Комітет з надзвичайних ситуацій Axelar оперативно відключив з'єднання Secret та Secret-SNIP, щоб запобігти подальшим несанкціонованим переказам. Наразі команда координує зусилля з біржами та правоохоронними органами для відстеження викрадених коштів та їх можливого повернення.

Важливо підкреслити, що атака торкнулася суворо обмеженого переліку токенів: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network (SCRT) залишилися недоторканими. Незважаючи на новини про злом, ринок відреагував парадоксально: ціна токена Secret (SCRT) короткочасно підскочила майже на 6%, досягнувши $0,06. Після корекції актив торгується близько $0,058, зберігаючи добове зростання близько 3%. Капіталізація проекту становить приблизно $20 мільйонів.

Для контексту: на історичному максимумі в жовтні 2021 року SCRT коштував $10,64, що на 99,5% перевищує поточні котирування. Цей інцидент нагадує нещодавні атаки на застарілі контракти в L2-мережі Aztec, де збитки від двох зломів у червні склали $2,19 млн та $2,15 млн відповідно.

Мій експертний коментар: Даний випадок — чергове суворе нагадування про те, що безпека кросчейн-мостів залишається «ахіллесовою п'ятою» всієї індустрії. Вразливість «нескінченного мінту» в модифікованих контрактах — це не нова технологія, а банальна помилка в логіці перевірки вхідних даних. Той факт, що атака залишалася непоміченою тиждень, піднімає серйозні питання щодо якості аудиту та процедур моніторингу в екосистемі. Інвесторам слід вкрай обережно ставитися до активів, що пройшли через мости, особливо в періоди волатильності, і пам'ятати, що навіть шановані протоколи не застраховані від подібних інцидентів.