Новости криптомира

22.06.2026
07:48

Взлом моста Axelar и Secret Network: уязвимость бесконечной эмиссии привела к потере $4,67 млн

19 июня 2026 года я зафиксировал серьезный инцидент в инфраструктуре кроссчейн-протокола Axelar. Злоумышленник успешно эксплуатировал уязвимость в мосте, соединяющем Axelar с Secret Network, и вывел средства на сумму около $4,67 млн. Критический баг, известный как «бесконечный минт», оставался незамеченным в течение семи дней.

Как показал мой анализ, проблема крылась в модифицированном смарт-контракте CW20-ICS20 на стороне Secret Network, используемом в рамках IBC-соединения Cosmos. Контракт отвечал за создание «обернутых» активов (saToken), но не проверял канал поступления входящих транзакций. Это позволило атакующему сфабриковать депозиты и выпускать токены без какого-либо реального обеспечения.

Злоумышленник действовал изобретательно: он запустил собственную цепочку в экосистеме Cosmos с одним валидатором, а затем отправлял из нее пакеты с фиктивными номиналами активов. Поскольку операции не требовали разрешения, уязвимость была реализована в полном объеме.

Комитет по чрезвычайным ситуациям Axelar оперативно отключил соединения Secret и Secret-SNIP, чтобы предотвратить дальнейшие несанкционированные переводы. Сейчас команда координирует действия с биржами и правоохранительными органами для отслеживания и возврата средств.

Важно подчеркнуть: инцидент затронул только монеты saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network остались нетронутыми.

Рынок отреагировал на новость парадоксально: цена токена Secret (SCRT) подскочила почти на 6% до $0,06. После коррекции актив торгуется около $0,058, сохраняя суточный рост около 3%. Капитализация составляет примерно $20 млн. Для контекста: на историческом максимуме в октябре 2021 года SCRT стоил $10,64 — текущие уровни ниже на 99,5%.

Мое экспертное мнение: данный инцидент — очередное напоминание о том, что сложность кроссчейн-инфраструктуры часто становится ее ахиллесовой пятой. Уязвимости типа «бесконечного минта» особенно опасны, так как позволяют создавать активы из воздуха. Инвесторам стоит обратить внимание на то, как команды проектов тестируют свои смарт-контракты на граничных условиях, особенно в мостовых решениях, где риск централизации и ошибок кода максимален. Пока рынок не требует более жестких аудитов и стандартов безопасности, подобные атаки будут повторяться.