Sezony
Ranking
Wiadomości
Ucz się
Badania
Ranking
Ekosystem
Portfel

Most skradzionych 4,67 mln dol. z mostu Secret Network zaczęła się od jednego brakującego sprawdzenia

profile-mehjabeen-arsiwala
Mehjabeen Arsiwala1 godzina temu
#Hakerzy #Secret Network
Most skradzionych 4,67 mln dol. z mostu Secret Network zaczęła się od jednego brakującego sprawdzenia

Atakujący wyprowadził około 4,67 mln dol. z mostu Secret (SCRT) powiązanego z Axelar (AXL), wykorzystując wadliwy kontrakt, który wybijał niepokryte tokeny z niczego.

Kluczowe punkty:

  • Wadliwy kontrakt Secret Network pozwolił atakującemu wybijać niepokryte tokeny, co doprowadziło do kradzieży około 4,67 mln dol.
  • Kradzież pozostawała ukryta przez siedem dni, dopóki nieudany transfer nie ujawnił pustego escrow.
  • Axelar wyłączył dotknięte połączenia i podkreślił, że jego główny protokół nie został naruszony.

Most Secret Network traci miliony

Kradzież rozpoczęła się 10 czerwca, lecz przez siedem dni pozostawała niezauważona, ponieważ Secret domyślnie szyfruje salda i brakujący depozyt zabezpieczający nie pojawiał się on-chain. Wyszła na jaw dopiero 17 czerwca, gdy rutynowy transfer międzyłańcuchowy nie powiódł się, ponieważ konto escrow zostało wyczerpane. Śledczy powiązali następnie niedobór z siedmioma podejrzanymi wypłatami dokonanymi pierwszego dnia.

Axelar potwierdził stratę 19 czerwca i w ciągu kilku godzin wyłączył dotknięte połączenia Secret oraz Secret-SNIP, podkreślając, że jego główny protokół nie został naruszony. Zespół poinformował, że skontaktował się z giełdami i organami ścigania, aby namierzyć środki, z czego około 672 000 dol. nadal pozostaje nietknięte w głównym portfelu atakującego.

Zobacz także: Rekordowy odpływ z Bitcoin ETF sięga 6,35 mld dol., ale panika może słabnąć

Błąd „nieskończonego mintu” zmylił kontrakt

Podatny kontrakt wybijał owrapowane w Secret kopie mostkowanych aktywów, ale nigdy nie weryfikował, z którego kanału faktycznie pochodzi depozyt, dopasowując jedynie nazwę tokena do zatwierdzonej listy.

Firma badawcza Common Prefix opublikowała raport po incydencie, pokazując, jak ta pojedyncza luka doprowadziła do katastrofy. Ponieważ sieć domyślnie ukrywa transfery, namierzenie atakującego okazało się znacznie trudniejsze, niż miałoby to miejsce w pełni przejrzystej, publicznej księdze.

Aby wykorzystać lukę, atakujący uruchomił łańcuch z jednym walidatorem, otworzył nieautoryzowany kanał i samodzielnie przekazywał sfałszowane pakiety zawierające nazwy tokenów skopiowane wprost z listy dozwolonych.

Kontrakt zaakceptował je i wybił prawdziwe, wymienialne tokeny bez jakiegokolwiek pokrycia.

Wykup tych fałszywek przez prawdziwy kanał opróżnił escrow dla siedmiu owrapowanych aktywów. Luka nie była nowa, a firma poinformowała, że ta sama logika znajdowała się w kodzie od 2023 r. i przetrwała migrację z marca 2026 r. Secret dodało, że przy budowie mostu nie zamówiono żadnego zewnętrznego audytu.

Mosty międzyłańcuchowe wciąż narażone

Skradzione środki przepłynęły przez Osmosis, zostały wymienione na Ether (ETH) na zdecentralizowanej giełdzie i rozproszone po dziesiątkach nowych portfeli, zanim ostatecznie trafiły na trzy scentralizowane giełdy. Szersza reakcja rynku pozostała stonowana: token Axelar stracił tego dnia około 2,2%, a Secret utrzymał się niemal bez zmian.

Mimo to strata wydłuża brutalny rok dla infrastruktury międzyłańcuchowej. Mosty o podobnej konstrukcji „lock-and-mint” pozostają najbardziej eksploatowaną powierzchnią w krypto, a podobne błędy kosztowały branżę ponad 340 mln dol. w 2026 r. Bilans obejmuje naruszenie na 25 mln dol. w Resolv, stratę 11 mln dol. w Verus i cios 4 mln dol. w IoTeX.

Czytaj dalej: Bot JaredFromSubway traci 7,5 mln dol. po złapaniu się na własną przynętę

Zastrzeżenie i ostrzeżenie o ryzyku: Informacje zawarte w tym artykule służą wyłącznie celom edukacyjnym i informacyjnym i opierają się na opinii autora. Nie stanowią one porad finansowych, inwestycyjnych, prawnych czy podatkowych. Aktywa kryptowalutowe są bardzo zmienne i podlegają wysokiemu ryzyku, w tym ryzyku utraty całości lub znacznej części Twojej inwestycji. Handel lub posiadanie aktywów krypto może nie być odpowiednie dla wszystkich inwestorów. Poglądy wyrażone w tym artykule są wyłącznie poglądami autora/autorów i nie reprezentują oficjalnej polityki lub stanowiska Yellow, jej założycieli lub dyrektorów. Zawsze przeprowadź własne dokładne badania (D.Y.O.R.) i skonsultuj się z licencjonowanym specjalistą finansowym przed podjęciem jakiejkolwiek decyzji inwestycyjnej.
Powiązane wiadomości
Most Verus-Ethereum traci 11 mln dol. w nowym ataku na most cross-chain
May 18, 2026
Atakujący wykradł z mostu Verus-Ethereum tBTC, ETH i USDC warte ponad 11 mln dol., zamieniając skradzione środki na 5 402 ETH.
Alephium twierdzi, że luka poza łańcuchem, a nie skradzione klucze, umożliwiła naruszenie na 815 tys. dolarów
Atak na most Alephium doprowadził do utraty ok. 815 tys. dolarów przez lukę off‑chain; wybito 13,76 mln niepopartych ALPH, zespół obiecuje zwrot.
Straty po ataku na Hyperbridge sięgają 2,5 mln USD, dziesięciokrotnie więcej niż pierwotne szacunki
Hyperbridge koryguje straty po ataku na most DOT–ETH do 2,5 mln USD. Środki śledzone na Binance, mosty wstrzymane, możliwa rekompensata tokenem BRIDGE.
Haker Verus Bridge Zwraca 8,5 mln USD w ramach wynegocjowanej nagrody
May 22, 2026
Haker mostu Verus odesłał 4 052 ETH warte 8,5 mln USD, zatrzymując 1 350 ETH jako nagrodę, co na nowo rozpala debatę o „white-hat” w DeFi.
Aztec Connect traci 2,1 mln USD w wyniku ataku na „zombie” kontrakt zamrożony od 3 lat
Jun 15, 2026
Aztec Connect stracił 2,19 mln USD przez błąd w weryfikacji dowodów w starym protokole; niezmienny kod i brak kluczy admina uniemożliwiły reakcję.
Powiązane artykuły badawcze
Mosty międzyłańcuchowe są wciąż drenowane. Dlaczego więc wszyscy nadal z nich korzystają?
Dlaczego mimo miliardowych strat mosty cross-chain wciąż dominują, jak działają, gdzie są najsłabsze i jakie nowe projekty próbują je zabezpieczyć.
Największe exploity kryptowalutowe 2025–2026: co naprawdę poszło nie tak
Przegląd 10 największych ataków na krypto w latach 2025–2026 i wspólnych wzorców: koncentracji zaufania, błędów kontraktów i łańcucha dostaw.
Claude Mythos i krypto: co nowe zagrożenie ze strony AI oznacza dla handlu
Claude Mythos odkrył tysiące luk zero‑day; krypto traci miliardy na hackach, a AI może przyspieszyć ataki, zwiększając presję na giełdy i DeFi.
Lazarus i włamanie na Kelp: jak północnokoreańska machina krypto‑rabunków wciąż ewoluuje
Jak północnokoreańska grupa Lazarus ewoluuje w wykorzystywaniu krypto jako źródła finansowania, na przykładzie ataku na Kelp DAO i innych włamań.
Kryzys bezpieczeństwa Web3 w 2026 roku: dlaczego największe ataki to już nie tylko błędy smart kontraktów
Ataki na infrastrukturę, socjotechnika i przejęcia kluczy chmurowych generują dziś większe straty w krypto niż klasyczne błędy smart kontraktów.
Powiązane artykuły edukacyjne
Ochrona konta na giełdzie kryptowalut: Wyjaśnione zaawansowane strategie bezpieczeństwa
Zrozumienie mechanizmów inżynierii społecznej jest kluczowe - od indywidualnych posiadaczy po duże giełdy.
7 sygnałów ostrzegawczych oszustw kryptowalutowych, które branża przekrętów za 17 mld dol. liczy, że przeoczysz
Mar 16, 2026
Przewodnik pokazuje 7 głównych typów oszustw krypto, ich schemat działania oraz konkretne sposoby wykrywania przed utratą pieniędzy.
CEX vs. DEX vs. giełda hybrydowa: która jest naprawdę dla Ciebie najlepsza?
Porównanie CEX, DEX i giełd hybrydowych: różnice w bezpieczeństwie, opłatach, prywatności i kontroli nad środkami w kontekście roku 2026.
10 najważniejszych rzeczy, które musisz wiedzieć przed handlem na DEX-ie
10 kluczowych zasad bezpiecznego i skutecznego handlu na DEX-ach: poślizg cenowy, MEV, bezpieczeństwo portfela, zgody tokenów i płynność.
Ataki socjotechniczne w kryptowalutach: 10 sprawdzonych wskazówek, jak chronić swoje cyfrowe aktywa
May 13, 2025
Naucz się zabezpieczać swoje kryptowaluty przed oszustwami socjotechnicznymi dzięki sprawdzonym poradom.
Most skradzionych 4,67 mln dol. z mostu Secret Network zaczęła się od jednego brakującego sprawdzenia | Yellow.com