Зловмисник вивів приблизно $4,67 млн з мосту Secret (SCRT), пов’язаного з Axelar (AXL), експлуатувавши некоректний смартконтракт, що карбував незабезпечені токени з повітря.
Ключові моменти:
- Помилковий контракт Secret Network дозволив нападнику карбувати незабезпечені токени та вивести близько $4,67 млн.
- Викрадення залишалося непоміченим сім днів, доки невдала транзакція не виявила порожній ескроу.
- Axelar відключив уражені з’єднання та наголосив, що його ядро-протокол не було скомпрометовано.
Міст Secret Network втрачає мільйони
Викрадення почалося 10 червня, але сім днів залишалося непоміченим, оскільки Secret шифрує баланси за замовчуванням, а відсутнє забезпечення не відображалося в ланцюгу. Воно спливло лише 17 червня, коли рутинний кросчейн-переказ провалився через те, що рахунок ескроу спорожнів. Розслідувачі потім відстежили нестачу до семи підозрілих виведень, здійснених у перший день.
Axelar підтвердив втрату 19 червня та за кілька годин відключив відповідні з’єднання Secret і Secret-SNIP, водночас підкресливши, що його основний протокол не було зачеплено. Команда заявила, що зв’язалася з біржами та правоохоронцями, щоб відстежити кошти, близько $672 000 з яких досі залишаються на головному гаманці нападника.
Також читайте: Вихід з Bitcoin ETF досягає рекордних $6,35 млрд, але панічні продажі можуть згасати
Уразливість «нескінченного карбування» обдурила контракт
Уразливий контракт карбував Secret-обгорнуті копії містових активів, але ніколи не перевіряв, з якого саме каналу надійшов депозит, звіряючи лише назву токена з дозволеним списком.
Дослідницька фірма Common Prefix опублікувала постмортем, що показує, як одна прогалина все зруйнувала. Оскільки мережа приховує трансфери за замовчуванням, відстежити нападника виявилося значно складніше, ніж це було б у повністю прозорому публічному леджері.
Щоб скористатися вадою, зловмисник запустив ланцюг з одним валідатором, відкрив неавторизований канал і самостійно ретранслював підроблені пакети з назвами токенів, скопійованими напряму зі списку дозволених.
Контракт прийняв їх і накарбував реальні, придатні до викупу токени, за якими взагалі нічого не стояло.
Викуп цих підробок через справжній канал спорожнив ескроу по семи обгорнутих активах. Вразливість не була новою: фірма повідомила, що та сама логіка була в коді ще з 2023 року й пережила міграцію в березні 2026-го. Secret додала, що під час первинної розробки мосту зовнішній аудит не замовляли.
Кросчейн-мости залишаються вразливими
Викрадені кошти пройшли через Osmosis, були обміняні на Ether (ETH) на децентралізованій біржі й розпорошені по десятках нових гаманців, перш ніж досягти трьох централізованих бірж. Реакція ширшого ринку залишилася стриманою: токен Axelar за день просів приблизно на 2,2%, а Secret майже не змінився.
Попри це, втрата продовжує важкий рік для кросчейн-інфраструктури. Мости з подібною моделлю «заблокуй і карбуй» залишаються найчастіше експлуатованою поверхнею в криптоіндустрії: схожі вади коштували галузі понад $340 млн у 2026 році. До цього переліку входять злам Resolv на $25 млн, втрата $11 млн у Verus і збиток у $4 млн для IoTeX.
Читайте далі: Бот JaredFromSubway втратив $7,5 млн, потрапивши на власну приманку