Новини криптоміра

22.06.2026
06:56

Злом мосту Axelar та Secret Network: вразливість «нескінченного карбування» обійшлася у $4,67 млн

хакеры, перемещение средств

19 червня я, як аналітик Cryptalist, зафіксував серйозний інцидент у кроссчейн-інфраструктурі. Проєкт Axelar офіційно підтвердив злам мосту, що з'єднує його мережу з протоколом Secret Network. Зловмисник вивів близько $4,67 млн, використовуючи критичну вразливість, відому як «нескінченний мінтинг» (infinite mint bug).

Крадіжка залишалася непоміченою протягом семи днів — це тривожний сигнал про недостатню оперативність систем моніторингу.

Як було проведено атаку

Згідно з моїм аналізом, баг було виявлено в смарт-контракті ICS-20 на стороні Secret Network, що працює в рамках IBC-з'єднання Cosmos. Контракт створював «обгорнуті» версії активів (saToken), але не перевіряв, з якого каналу надходила вхідна транзакція. Це дозволило атакуючому сфальсифікувати депозити та випускати токени без жодного реального забезпечення.

Оскільки операції не вимагали дозволу, зловмисник запустив у Cosmos власний ланцюжок з одним валідатором. З цієї фіктивної мережі він пересилав пакети з фейковими номіналами активів, обманюючи міст та генеруючи незабезпечені токени.

Реакція та наслідки

Комітет з надзвичайних ситуацій Axelar негайно відключив з'єднання Secret та Secret-SNIP, щоб зупинити нові несанкціоновані перекази. Команда координує дії з біржами та правоохоронними органами для відстеження коштів та їх можливого повернення.

Важливо підкреслити: інцидент обмежений монетами saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network не постраждали. Це свідчить про точковий характер вразливості, а не про системний збій.

Реакція ринку

Незважаючи на повідомлення про крадіжку, ціна токена Secret (SCRT) у моменті підскочила майже на 6%, досягнувши $0,06. Після корекції актив торгується в районі $0,058, зберігаючи добове зростання близько 3%. Капіталізація становить приблизно $20 млн.

Однак варто зазначити, що на історичному максимумі в жовтні 2021 року SCRT коштував $10,64, що на 99,5% перевищує поточні котирування. Це зростання на тлі зламу — скоріше короткострокова спекуляція, ніж фундаментальне відновлення.

Нагадаю, що в червні хакери за кілька днів двічі атакували застарілі контракти в L2-мережі Aztec, завдавши збитків на $2,19 млн та $2,15 млн відповідно. Це підтверджує тенденцію: зловмисники активно полюють за вразливостями в кроссчейн-мостах та застарілих контрактах.

Моя експертна думка: Цей інцидент — чергове нагадування про те, що безпека кроссчейн-інфраструктури залишається слабкою ланкою в екосистемі DeFi. Проєктам необхідно впроваджувати багаторівневі системи верифікації транзакцій та проводити регулярні аудити з фокусом на логіку mint-функцій. Ігнорування таких ризиків може призвести до ще більш масштабних втрат у майбутньому.