Новини криптоміра

22.06.2026
07:48

Злом мосту Axelar та Secret Network: вразливість нескінченної емісії призвела до втрати $4,67 млн

19 червня 2026 року я зафіксував серйозний інцидент в інфраструктурі кроссчейн-протоколу Axelar. Зловмисник успішно експлуатував вразливість у мості, що з'єднує Axelar із Secret Network, і вивів кошти на суму близько $4,67 млн. Критичний баг, відомий як «нескінченний мінт», залишався непоміченим протягом семи днів.

Як показав мій аналіз, проблема полягала в модифікованому смарт-контракті CW20-ICS20 на стороні Secret Network, який використовувався в рамках IBC-з'єднання Cosmos. Контракт відповідав за створення «обгорнутих» активів (saToken), але не перевіряв канал надходження вхідних транзакцій. Це дозволило атакуючому сфабрикувати депозити та випускати токени без будь-якого реального забезпечення.

Зловмисник діяв винахідливо: він запустив власний ланцюжок в екосистемі Cosmos з одним валідатором, а потім відправляв з нього пакети з фіктивними номіналами активів. Оскільки операції не вимагали дозволу, вразливість була реалізована в повному обсязі.

Комітет з надзвичайних ситуацій Axelar оперативно відключив з'єднання Secret та Secret-SNIP, щоб запобігти подальшим несанкціонованим переказам. Зараз команда координує дії з біржами та правоохоронними органами для відстеження та повернення коштів.

Важливо підкреслити: інцидент торкнувся лише монет saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network залишилися недоторканими.

Ринок відреагував на новину парадоксально: ціна токена Secret (SCRT) підскочила майже на 6% до $0,06. Після корекції актив торгується близько $0,058, зберігаючи добове зростання близько 3%. Капіталізація становить приблизно $20 млн. Для контексту: на історичному максимумі в жовтні 2021 року SCRT коштував $10,64 — поточні рівні нижчі на 99,5%.

Моя експертна думка: цей інцидент — чергове нагадування про те, що складність кроссчейн-інфраструктури часто стає її ахіллесовою п'ятою. Вразливості типу «нескінченного мінту» особливо небезпечні, оскільки дозволяють створювати активи з повітря. Інвесторам варто звернути увагу на те, як команди проєктів тестують свої смарт-контракти на граничних умовах, особливо в мостових рішеннях, де ризик централізації та помилок коду максимальний. Поки ринок не вимагатиме більш жорстких аудитів та стандартів безпеки, подібні атаки повторюватимуться.