Новини криптоміра

22.06.2026
04:41

Злом мосту Axelar та Secret Network: вразливість «нескінченного карбування» обійшлася у $4,67 млн

19 червня блокчейн-проєкт Axelar розкрив серйозний інцидент безпеки, пов'язаний із мостом, що з'єднує його мережу з протоколом Secret Network. Зловмисник використав критичну вразливість, відому як «нескінченний карбування», та вивів близько $4,67 млн. Примітно, що крадіжка залишалася непоміченою протягом семи днів — це свідчить про складність відстеження аномалій у кросчейн-інфраструктурі.

Аналіз, проведений командою Common Prefix, основним розробником Axelar, показав, що баг був закладений у смарт-контракті ICS-20 на стороні Secret Network, який працює в рамках IBC-з'єднання Cosmos. Контракт відповідав за створення «обгорнутих» версій активів (saToken), але не перевіряв, з якого каналу надходила вхідна транзакція. Це дозволило атакуючому сфальсифікувати депозити та випускати токени без реального забезпечення.

Оскільки операції не вимагали дозволу, хакер запустив у Cosmos власний ланцюжок з одним валідатором, з якого пересилав пакети з фіктивними номіналами активів. У результаті були скомпрометовані монети saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Комітет з надзвичайних ситуацій Axelar оперативно відключив з'єднання Secret та Secret-SNIP, щоб зупинити нові несанкціоновані перекази. Основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network не постраждали.

Ми проаналізували інцидент із Secret Network. Атакуючий використав баг нескінченного карбування в модифікованому контракті токенів CW20-ICS20 на Secret, щоб вивести ≈$4,67 млн. Зловмисник накарбував довільні Secret-обгорнуті активи Axelar на Secret, запустивши новий ланцюжок Cosmos з 1 валідатором і…

— Common Prefix (@CommonPrefix)

Команда Axelar координує дії з біржами та правоохоронними органами для відстеження коштів та сприяння їх поверненню.

Незважаючи на повідомлення про крадіжку, ціна токена Secret (SCRT) миттєво підскочила майже на 6%, досягнувши $0,06. Після корекції актив торгується в районі $0,058, зберігаючи добове зростання близько 3%. Капіталізація становить ~$20 млн. При цьому на історичному максимумі в жовтні 2021 року SCRT коштував $10,64, що на 99,5% перевищує поточні котирування.

Мій коментар: Цей інцидент — класичний приклад того, як навіть у зрілих екосистемах, таких як Cosmos IBC, можуть виникати фатальні вразливості через недостатню валідацію вхідних даних. Вразливість «нескінченного карбування» — одна з найнебезпечніших для кросчейн-мостів, оскільки вона дозволяє створювати активи з повітря. Я очікую, що після цього випадку команди проєктів посилять аудит смарт-контрактів, особливо в частині перевірки каналів та депозитів. Ринок, своєю чергою, поки не панікує — зростання SCRT свідчить про те, що інвестори вірять у здатність команди впоратися з наслідками. Однак подібні інциденти нагадують, що безпека в DeFi — це не разове завдання, а безперервний процес.