Злоумышленник вывел примерно $4,67 млн из моста Secret (SCRT), связанного с Axelar (AXL), эксплуатировав уязвимый контракт, который чеканил необеспеченные токены «из воздуха».
Ключевые моменты:
- Ошибочный контракт Secret Network позволил атакующему чеканить необеспеченные токены и вывести около $4,67 млн.
- Кража оставалась незамеченной семь дней, пока неудачный перевод не выявил пустой эскроу.
- Axelar отключил пострадавшие соединения и заявил, что его основной протокол не затрагивался.
Мост Secret Network теряет миллионы
Кража началась 10 июня, но оставалась незамеченной в течение семи дней, поскольку Secret по умолчанию шифрует балансы, и недостающее обеспечение не отображалось в блокчейне. Она вскрылась лишь 17 июня, когда обычный кросс‑чейн перевод провалился, потому что эскроу‑счёт опустел. Затем расследователи проследили дефицит до семи подозрительных выводов, сделанных в первый день атаки.
Axelar подтвердил потери 19 июня и в течение нескольких часов отключил соответствующие соединения Secret и Secret-SNIP, подчеркнув, что его основной протокол не был затронут. Команда заявила, что связалась с биржами и правоохранительными органами, чтобы отследить средства; около $672 000 до сих пор остаются нетронутыми на основном кошельке атакующего.
Также читайте: Исход инвесторов из Bitcoin‑ETF достиг рекордных $6,35 млрд, но панические продажи могут стихать
Уязвимость «бесконечной чеканки» обманула контракт
Уязвимый контракт чеканил обёрнутые в Secret копии мостовых активов, но никогда не проверял, по какому именно каналу поступил депозит, сверяясь только с названием токена в утверждённом списке.
Исследовательская фирма Common Prefix опубликовала постмортем‑разбор, показавший, как один недостающий контроль разрушил всю логику. Поскольку сеть по умолчанию скрывает переводы, отследить атакующего оказалось гораздо сложнее, чем это было бы в полностью прозрачном публичном реестре.
Чтобы использовать уязвимость, злоумышленник запустил цепочку с одним валидатором, открыл неавторизованный канал и самостоятельно ретранслировал поддельные пакеты, в которых использовал названия токенов прямо из allow‑листа.
Контракт принял их и отчеканил реальные, подлежащие выкупу токены без какого‑либо обеспечения за ними.
Погашение этих фальшивок через настоящий канал затем опустошило эскроу по семи обёрнутым активам. Уязвимость была не новой: фирма сообщила, что та же логика находилась в коде с 2023 года и пережила миграцию в марте 2026‑го. Secret добавила, что при первоначальной разработке моста внешний аудит не запрашивался.
Кросс‑чейн мосты остаются уязвимыми
Похищенные средства прошли через Osmosis, были обменяны на Ether (ETH) на децентрализованной бирже и раскиданы по десяткам свежих кошельков, прежде чем в итоге попали на три централизованные биржи. Реакция рынка в целом осталась сдержанной: токен Axelar за день просел примерно на 2,2%, а Secret почти не изменился.
Тем не менее эта потеря продолжает тяжёлый год для кросс‑чейн инфраструктуры. Мосты со схожей моделью lock‑and‑mint остаются самой эксплуатируемой поверхностью в криптоиндустрии, а аналогичные уязвимости уже обошлись сектору более чем в $340 млн в 2026 году. В эту сумму входят взлом Resolv на $25 млн, потеря $11 млн у Verus и ущерб в $4 млн для IoTeX.
Читайте далее: Бот JaredFromSubway теряет $7,5 млн, попавшись на собственную приманку