Зловмисник вивів приблизно $4,67 млн з мосту Secret (SCRT), пов’язаного з Axelar (AXL), скориставшись вадою в контракті, який карбував незабезпечені токени з нічого.
Ключові моменти:
- Вада в контракті Secret Network дозволила зловмиснику карбувати незабезпечені токени й вивести близько $4,67 млн.
- Крадіжка залишалася непоміченою сім днів, доки невдала транзакція не виявила порожній ескроу.
- Axelar відключив уражені з’єднання та заявив, що його базовий протокол не було зачеплено.
Міст Secret Network втрачає мільйони
Крадіжка почалася 10 червня, але залишалася непоміченою сім днів, оскільки Secret за замовчуванням шифрує баланси, і відсутня застава не відображалася в ланцюгу. Вона спливла лише 17 червня, коли рутинний кросчейн-переказ не пройшов через те, що рахунок ескроу спорожнів. Розслідувачі тоді відстежили нестачу до семи підозрілих виводів, зроблених у перший день.
Axelar підтвердив втрату 19 червня й протягом кількох годин відключив уражені з’єднання Secret та Secret-SNIP, наголошуючи, що його основний протокол не було порушено. Команда заявила, що звернулася до бірж і правоохоронців, щоб відстежити кошти, близько $672 000 з яких досі залишаються недоторканими в основному гаманці зловмисника.
Також читайте: Відтік з Bitcoin ETF сягнув рекордних $6,35 млрд, але панічні продажі можуть вщухати
Помилка з «нескінченним карбуванням» ввела контракт в оману
Уразливий контракт карбував Secret-обгорнуті копії перенесених активів, але ніколи не перевіряв, з якого саме каналу надійшов депозит, звіряючи лише назву токена зі схваленим списком.
Дослідницька фірма Common Prefix опублікувала постмортем, де показано, як одна ця прогалина все зруйнувала. Оскільки мережа за замовчуванням приховує трансакції, відстежити зловмисника виявилося значно складніше, ніж це було б у повністю прозорому публічному реєстрі.
Щоб експлуатувати ваду, зловмисник запустив ланцюг з одним валідатором, відкрив неавторизований канал і самостійно ретранслював підроблені пакети з назвами токенів, безпосередньо взятими з allow-list.
Контракт приймав їх і карбував реальні, придатні до викупу токени, взагалі без будь-якого забезпечення.
Викуп цих фейкових токенів через справжній канал спорожнив ескроу за сімома обгорнутими активами. Вада була не новою: фірма повідомила, що та сама логіка містилася в коді з 2023 року і «пережила» міграцію в березні 2026-го. Secret додала, що жоден зовнішній аудит не було замовлено, коли міст вперше будували.
Кросчейн-мости й далі залишаються вразливими
Викрадені кошти провели через Osmosis, обміняли на Ether (ETH) на децентралізованій біржі й розпорошили по десятках нових гаманців, перш ніж вони дісталися трьох централізованих бірж. Реакція ширшого ринку залишилася стриманою: токен Axelar просів приблизно на 2,2% за день, а Secret майже не змінився.
Попри це, втрата продовжує важкий рік для кросчейн-інфраструктури. Мости, побудовані на подібних схемах блокування й карбування, залишаються найчастіше експлуатованою поверхнею в криптоіндустрії: подібні вади коштували ринку понад $340 млн у 2026 році. До цього переліку входять злам Resolv на $25 млн, втрата $11 млн у Verus і збиток у $4 млн для IoTeX.
Читайте далі: Бот JaredFromSubway втратив $7,5 млн, потрапивши у власну пастку