Уязвимость «бесконечного минта» привела к взлому моста Axelar и Secret Network: ущерб $4,67 млн

19 июня 2026 года блокчейн-инфраструктурный проект Axelar официально подтвердил факт эксплуатации критической уязвимости в кроссчейн-мосте, соединяющем его сеть с протоколом конфиденциальных вычислений Secret Network. Злоумышленнику удалось вывести цифровые активы на сумму около $4,67 млн, используя баг, известный как «бесконечный минт» (infinite mint).
Согласно данным, предоставленным командой разработчиков Common Prefix — основным контрибьютором протокола Axelar, инцидент оставался незамеченным на протяжении семи дней. Уязвимость была обнаружена в смарт-контракте ICS-20, развернутом на стороне Secret Network в рамках IBC-соединения экосистемы Cosmos. Ключевая проблема заключалась в отсутствии верификации входящего канала транзакции: контракт создавал «обернутые» версии активов (saToken) без проверки источника депозита.
Атакующий воспользовался этим, запустив собственную цепочку в Cosmos с единственным валидатором. Через нее он передавал поддельные пакеты с фиктивными номиналами активов, что позволяло выпускать токены без реального обеспечения. В результате были сгенерированы необеспеченные монеты saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH.
Комитет по чрезвычайным ситуациям Axelar оперативно отключил соединения Secret и Secret-SNIP, чтобы предотвратить дальнейшие несанкционированные переводы. В настоящее время команда координирует действия с криптовалютными биржами и правоохранительными органами для отслеживания украденных средств и их возможного возврата. Важно подчеркнуть, что основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network не пострадали.
Рыночная реакция на инцидент оказалась неожиданной. Цена токена Secret (SCRT) в моменте подскочила почти на 6%, достигнув $0,06. После коррекции актив торгуется около $0,058, сохраняя суточный рост примерно 3%. Капитализация составляет порядка $20 млн. При этом стоит отметить, что текущий курс находится на 99,5% ниже исторического максимума в $10,64, зафиксированного в октябре 2021 года.
Мое экспертное мнение: Данный инцидент — еще одно напоминание о системных рисках, связанных с кроссчейн-мостами, особенно теми, которые используют модифицированные контракты без должного аудита безопасности. Отсутствие проверки входящего канала — это базовая ошибка, которой не должно быть в протоколах, управляющих миллионами долларов. Инвесторам следует внимательнее относиться к проектам, чьи мосты не прошли многократный аудит и не имеют проверенных механизмов верификации транзакций.