Злоумышленник вывел около $4,67 млн из моста Secret (SCRT), связанного с Axelar (AXL), эксплуатировав уязвимый контракт, который чеканил необеспеченные токены «из воздуха».
Ключевые моменты:
- Ошибка в контракте Secret Network позволила атакующему чеканить необеспеченные токены и вывести около $4,67 млн.
- Кража оставалась незамеченной семь дней, пока неудачная транзакция не выявила пустой эскроу.
- Axelar отключил затронутые соединения и заявил, что его базовый протокол не пострадал.
Мост Secret Network теряет миллионы
Кража началась 10 июня и оставалась незамеченной семь дней, поскольку Secret по умолчанию шифрует балансы, и отсутствие коллатераля не отображалось в цепочке. Проблема проявилась лишь 17 июня, когда обычный кроссчейн-перевод не прошел из‑за того, что на эскроу‑счете закончились средства. Затем следователи отследили дефицит до семи подозрительных выводов, совершенных в первый же день.
Axelar подтвердил потерю 19 июня и в течение нескольких часов отключил затронутые соединения Secret и Secret-SNIP, подчеркнув, что его базовый протокол не был затронут. Команда сообщила, что обратилась на биржи и в правоохранительные органы, чтобы отследить средства; около $672 000 по‑прежнему лежат нетронутыми на основном кошельке атакующего.
Также читайте: Исход средств из Bitcoin‑ETF достиг рекордных $6,35 млрд, но панические продажи могут снижаться
Уязвимость бесконечной чеканки обманула контракт
Уязвимый контракт чеканил «завернутые» в Secret копии мостовых активов, но не проверял, из какого канала фактически пришел депозит, сверяя только имя токена со списком разрешенных.
Исследовательская фирма Common Prefix опубликовала разбор инцидента, показав, как одна‑единственная прореха все разрушила. Поскольку сеть по умолчанию скрывает транзакции, отследить атакующего оказалось гораздо сложнее, чем это было бы в полностью прозрачной публичной цепочке.
Чтобы воспользоваться уязвимостью, атакующий запустил цепочку с одним валидатором, открыл неавторизованный канал и сам ретранслировал поддельные пакеты с именами токенов, скопированными прямо из списка разрешений.
Контракт принял их и отчеканил настоящие, подлежащие погашению токены, не имеющие за собой никакого обеспечения.
Обменивая эти фальшивые токены через легитимный канал, злоумышленник опустошил эскроу по семи «завернутым» активам. Уязвимость была не новой: фирма сообщила, что та же логика присутствовала в коде с 2023 года и пережила миграцию в марте 2026‑го. Secret добавила, что при создании моста внешнего аудита не запрашивали.
Кроссчейн‑мосты по‑прежнему под ударом
Похищенные средства прошли через Osmosis, были обменены на Ether (ETH) на децентрализованной бирже и рассеяны по десяткам новых кошельков, прежде чем в итоге попасть на три централизованные биржи. Реакция рынка в целом осталась сдержанной: токен Axelar в этот день потерял около 2,2%, а Secret почти не изменился в цене.
Тем не менее, эта потеря продолжает тяжелый год для кроссчейн‑инфраструктуры. Мосты с аналогичным дизайном «запирай‑и‑чекань» остаются самой эксплуатируемой поверхностью в криптоиндустрии: схожие уязвимости стоили рынку более $340 млн в 2026 году. В эту сумму входят взлом на $25 млн у Resolv, потеря $11 млн у Verus и ущерб в $4 млн у IoTeX.
Читайте далее: Бот JaredFromSubway теряет $7,5 млн, попав в собственную ловушку