Злом мосту Axelar та Secret Network: вразливість «нескінченного карбування» обійшлася у $4,67 млн

19 червня 2026 року команда блокчейн-проекту Axelar офіційно підтвердила факт експлуатації критичної вразливості в кроссчейн-мості, що з'єднує Axelar із протоколом Secret Network. У результаті атаки зловмисник вивів приблизно $4,67 млн, скориставшись багом, відомим як «нескінченний мінт» (infinite-mint).
Як було реалізовано атаку
Згідно з детальним аналізом, проведеним основним розробником Axelar — командою Common Prefix, вразливість було виявлено в смарт-контракті ICS-20 на стороні Secret Network, що працює в рамках IBC-з'єднання екосистеми Cosmos. Контракт відповідав за створення «обгорнутих» версій активів (saToken), однак критична помилка полягала у відсутності перевірки каналу, з якого надходила вхідна транзакція. Це дозволило атакуючому сфальсифікувати депозити та випускати токени без реального забезпечення.
Оскільки операції в мережі Cosmos не вимагали дозволу, зловмисник запустив власний ланцюжок з одним валідатором. З цього ланцюжка він надсилав IBC-пакети з підробленими номіналами активів, що й призвело до несанкціонованої емісії токенів.
Масштаби та наслідки
Крадіжка залишалася непоміченою протягом семи днів. Після виявлення інциденту Комітет з надзвичайних ситуацій Axelar оперативно відключив з'єднання Secret та Secret-SNIP, щоб запобігти подальшим несанкціонованим переказам. Наразі команда координує дії з біржами та правоохоронними органами для відстеження викрадених коштів та сприяння їх поверненню.
Важливо підкреслити, що інцидент торкнувся лише конкретних монет: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network не постраждали.
Реакція ринку
Незважаючи на повідомлення про крадіжку, ринок відреагував несподівано. Ціна токена Secret (SCRT) миттєво підскочила майже на 6%, досягнувши позначки $0,06. Після невеликої корекції актив торгується в районі $0,058, зберігаючи добове зростання близько 3%. Поточна ринкова капіталізація становить приблизно $20 млн. При цьому варто зазначити, що від історичного максимуму в жовтні 2021 року ($10,64) SCRT впав на 99,5%.
Думка експерта
Цей інцидент — чергове нагадування про те, що навіть перевірені часом мости та протоколи залишаються вразливими до атак на рівні смарт-контрактів. Відсутність валідації каналу вхідних транзакцій — це класична помилка, яку, здавалося б, мали виявити на етапі аудиту. Ринок, своєю чергою, демонструє парадоксальну реакцію: короткострокове зростання SCRT на тлі крадіжки вказує на те, що інвестори сприймають ізольованість вразливості як позитивний сигнал, хоча фундаментально безпека екосистеми залишається під питанням.