Критическая уязвимость «бесконечного минта»: Взлом моста Axelar и Secret Network на $4,67 млн

19 июня 2026 года команда межсетевого протокола Axelar официально подтвердила факт эксплуатации критической уязвимости в мосте, соединяющем их инфраструктуру с сетью Secret Network. Злоумышленник сумел вывести цифровые активы на сумму около $4,67 миллиона, используя классический вектор атаки — «бесконечный минт» (infinite mint bug). Примечательно, что инцидент оставался незамеченным на протяжении семи дней, что указывает на серьезные пробелы в системах мониторинга.
Как была реализована атака
Мой анализ ситуации, основанный на данных от ведущего разработчика Axelar — команды Common Prefix, показывает, что баг локализовался в смарт-контракте ICS-20 на стороне Secret Network. Этот контракт отвечал за создание «обернутых» версий активов (saToken) в экосистеме Cosmos IBC. Критическая ошибка заключалась в отсутствии валидации канала, из которого поступала входящая транзакция. Вместо того чтобы проверять легитимность источника, контракт слепо доверял любому пакету данных.
Воспользовавшись этим, атакующий запустил собственную цепочку Cosmos с единственным валидатором. Через этот канал он отправлял поддельные пакеты с произвольными номиналами активов, что позволяло ему неограниченно эмитировать токены без какого-либо реального обеспечения. По сути, это был классический случай манипуляции механизмом консенсуса на уровне приложения.
Масштаб ущерба и реакция
Комитет по чрезвычайным ситуациям Axelar оперативно отреагировал, отключив соединения Secret и Secret-SNIP, чтобы предотвратить дальнейшие утечки. В настоящее время команда координирует действия с биржами и правоохранительными органами для отслеживания украденных средств. Важно подчеркнуть, что, согласно заявлению, инцидент ограничен конкретными монетами: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network не пострадали.
Любопытно, что новость о взломе не вызвала панических распродаж. Напротив, цена токена Secret (SCRT) в моменте подскочила почти на 6%, достигнув $0,06. После коррекции актив торгуется в районе $0,058, сохраняя суточный рост около 3%. Капитализация составляет примерно $20 миллионов. Однако не стоит обольщаться: на историческом максимуме в октябре 2021 года SCRT стоил $10,64, что на 99,5% превышает текущие котировки. Это говорит о глубоком медвежьем тренде, который никакой взлом не способен переломить.
Мой экспертный взгляд
Данный инцидент — очередное напоминание о хрупкости кроссчейн-мостов, особенно тех, что используют модифицированные версии стандартных контрактов. Отсутствие проверки канала входящей транзакции — это базовая ошибка, которая не должна была пройти аудит. Рынок, похоже, уже привык к таким взломам, что и объясняет отсутствие серьезной просадки SCRT. Однако для инвесторов это тревожный сигнал: если команда не сможет обеспечить безопасность базового соединения, доверие к сети будет подорвано в долгосрочной перспективе, несмотря на краткосрочный рост.