Міст Axelar та Secret Network зламано на $4,67 млн через критичну вразливість
19 червня 2026 року блокчейн-інфраструктура Axelar підтвердила факт злому міжмережевого мосту, що з'єднує її з протоколом Secret Network. У результаті атаки зловмисник вивів цифрові активи на суму близько $4,67 млн, експлуатуючи так званий баг «нескінченного мінту».
Інцидент залишався непоміченим протягом семи днів. Основний розробник Axelar, команда Common Prefix, виявила, що вразливість знаходилася в модифікованому смарт-контракті ICS-20 на стороні Secret Network, який використовувався в IBC-з'єднанні екосистеми Cosmos. Проблема полягала у відсутності перевірки каналу вхідних транзакцій — алгоритм, що створював «обгорнуті» версії активів (saToken), не верифікував джерело депозиту.
Це дозволило атакуючому сфальсифікувати депозити та емітувати незабезпечені токени. Для реалізації схеми хакер запустив власний ланцюжок Cosmos з одним валідатором, звідки надсилав пакети з фіктивними номіналами активів. Операції не вимагали дозволу, що спростило експлуатацію бага.
Реакція та наслідки
Комітет з надзвичайних ситуацій Axelar негайно відключив з'єднання Secret та Secret-SNIP, щоб запобігти подальшим несанкціонованим переказам. Наразі команда координує зусилля з біржами та правоохоронними органами для відстеження викрадених коштів та їх повернення.
Важливо підкреслити: інцидент торкнувся виключно монет saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network залишилися недоторканими.
Незважаючи на повідомлення про крадіжку, ринок відреагував несподівано: ціна токена Secret (SCRT) миттєво підскочила майже на 6%, досягнувши $0,06. Після корекції актив торгується близько $0,058, зберігаючи добове зростання приблизно на 3%, а капіталізація становить ~$20 млн. Однак варто зазначити, що з історичного максимуму в жовтні 2021 року ($10,64) SCRT втратив понад 99,5% вартості, що підкреслює його поточну вразливість та волатильність.
Цей злом — чергове нагадування про критичну важливість аудиту смарт-контрактів у кросс-чейн рішеннях. Вразливість «нескінченного мінту» в IBC-з'єднаннях не нова, але її повторення в проєкті масштабу Axelar свідчить про системні ризики, пов'язані зі швидким розгортанням мостів без належної перевірки логіки емісії активів.