Новини криптоміра

22.06.2026
03:32

Вразливість безкінечного карбування: Axelar втратив $4,67 млн через злам мосту з Secret Network

хакеры hackers, перемещение средств 2

19 червня блокчейн-проєкт Axelar розкрив факт злому мосту, що з'єднує його інфраструктуру з протоколом Secret Network. Зловмисник вивів близько $4,67 млн, скориставшись критичною вразливістю «нескінченного карбування» у смарт-контракті. Крадіжка залишалася непоміченою протягом семи днів, що вказує на серйозні прогалини в системі моніторингу обох мереж.

Баг було виявлено в модифікованому контракті CW20-ICS20 на стороні Secret, що працює в Cosmos IBC-з'єднанні. Алгоритм створював «обгорнуті» версії активів (saToken), але не перевіряв, з якого каналу надходила вхідна транзакція. Це дозволило атакуючому сфальсифікувати депозити та випускати токени без жодного забезпечення. Простіше кажучи, хакер запустив у Cosmos власний ланцюжок з одним валідатором, звідки пересилав пакети з фіктивними номіналами активів, обманюючи міст. Такий вектор атаки — класичний приклад недостатньої валідації міжмережевих повідомлень, який ми неодноразово спостерігали в інших інцидентах.

Комітет з надзвичайних ситуацій Axelar оперативно відключив з'єднання Secret та Secret-SNIP, щоб зупинити нові несанкціоновані перекази. Команда координує дії з біржами та правоохоронними органами для відстеження коштів та сприяння їхньому поверненню. Згідно із заявою, інцидент обмежений монетами saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network не постраждали.

Незважаючи на повідомлення про крадіжку, ціна токена Secret (SCRT) миттєво підскочила майже на 6%, досягнувши $0,06. Після корекції актив торгується в районі $0,058, зберігаючи добове зростання близько 3%. Капіталізація становить ~$20 млн. При цьому на історичному максимумі в жовтні 2021 року SCRT коштував $10,64, що на 99,5% перевищує поточні котирування. Така реакція ринку показує, що інвестори поки що не сприймають цей інцидент як фатальний для проєкту, хоча довіра до мостів залишається надзвичайно крихкою.

Аналітичний коментар: Цей злом — чергове нагадування про те, що міжмережеві мости залишаються найвразливішою точкою в екосистемі DeFi. Вразливість «нескінченного карбування» в контракті ICS-20 — це не нова техніка, а скоріше результат недбалого аудиту або застарілої реалізації. На мою думку, індустрії терміново потрібні стандартизовані протоколи безпеки для IBC-з'єднань, інакше такі інциденти повторюватимуться з лякаючою регулярністю.