Что произошло
Мост между Secret Network и Axelar опустошили на $4,67 млн. Атакующий воспользовался отсутствующей проверкой в смарт-контракте Secret Network: он «намайнил» необеспеченные токены и вывел реальные активы из эскроу. Атака произошла 10 июня 2026 года и оставалась незамеченной семь дней — до 17 июня, когда сбой при кросс-чейн переводе обнажил, что эскроу-счёт Axelar пуст.
Детали
- Похищено около $4,67 млн в семи активах: обёрнутые USDT, USDC, DAI, WETH, WBTC, WBNB и wstETH (The Block, Cryptopolitan).
- Как сработало: атакующий поднял Cosmos-цепочку с единственным валидатором, открыл канал к контракту моста и сам себе «релеил» поддельные пакеты с теми же обозначениями токенов, что были в allow-list контракта. Контракт не отличил их от реальных, выпустил saTokens, а при погашении через настоящий канал Axelar высвободил активы из эскроу.
- Изъян в модифицированном контракте CW20-ICS20 существовал в задеплоенном коде с марта 2023 года.
- Около $770 000 всё ещё лежат в кошельке атакующего; Axelar отклонил просьбу заморозить их.
- Экстренный комитет Axelar отключил соединения Secret и Secret-SNIP; ядро протокола, по заявлению команды, не пострадало.
Что это значит
Кого касается: пользователей кросс-чейн мостов в экосистеме Cosmos и тех, кто держал обёрнутые активы на Secret Network. Риск с цифрой: $4,67 млн утекли через дыру, прожившую в коде больше двух лет, а сам инцидент неделю никто не замечал — это напоминание, что мосты остаются самым хрупким звеном крипты. Горизонт: уязвимые соединения уже отключены, но средства не возвращены; пользователям затронутых маршрутов стоит проверить балансы и не пользоваться мостом до восстановления.
Контекст
Это уже не первый эксплойт через давно задеплоенный или забытый код — недавно похожим образом пострадал протокол Thetanuts. Общий мотив — непроверенная логика в контрактах, к которой годами не возвращались, пока её не нашёл атакующий.
