Дыра в кастомном контракте: мост Secret Network неделю «печатал» ничем не обеспеченные токены

Обновление: 2026/06/22

2 мин. чтения

Что произошло

Атакующий вывел около $4,67 млн с моста Secret Network, работающего через Axelar, использовав баг типа infinite mint — «бесконечную чеканку» ничем не обеспеченных токенов. Сама атака произошла 10 июня 2026 года, но оставалась незамеченной целую неделю: её обнаружили только 17 июня, когда неудачная кросс-чейн-транзакция выдала ошибку «недостаточно средств» на опустошённом счёте.

Что произошло
Детали
Что это значит
Контекст

Детали

Механика бага: контракт Secret Network не проверял источник входящего перевода перед чеканкой — это позволило подделать депозиты и выпустить реальные saTokens без какого-либо обеспечения.
Как именно: атакующий поднял фейковую Cosmos-сеть с единственным валидатором, открыл новый IBC-канал к Secret и сам ретранслировал поддельные IBC-пакеты с «голыми» обозначениями токенов, совпадавшими с разрешённым списком.
Что слили: семь обёрнутых токенов — saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH.
Куда ушли деньги: в сеть Ethereum, где их сконвертировали в ETH, разбросали примерно по 30 кошелькам и завели на биржи KuCoin, ChangeNow и HitBTC.
Реакция: экстренный комитет Axelar отключил соединения Secret и Secret-SNIP. В Axelar подчеркнули, что сам протокол скомпрометирован не был, а уязвимый контракт разрабатывала не их команда.

Что это значит

Кого касается: держателей обёрнутых через Axelar saXXX-токенов на Secret Network — команда прямо предупредила, что их обеспечение пострадало и средства могут быть потеряны. Риск с цифрой: в обороте оказалось $4,67 млн ничем не обеспеченных токенов, а маршруты моста уже отключены — быстро «выйти» через тот же мост не получится. Горизонт: ущерб уже зафиксирован, шансы на возврат низкие — деньги конвертированы в ETH и разведены по биржам. Главный урок: дыра была не в самом Axelar, а в кастомном контракте поверх него — проверять нужно всю цепочку, а не только «бренд» базового протокола. И снова, как и в случае с Taiko, слабым звеном оказался мост.

Контекст

Это часть череды мостовых эксплойтов 2026 года, когда атакующий обходит верификацию и чеканит/выводит активы без обеспечения. Похожий разбор «легаси-контракт и подделка состояния» — в нашем материале об эксплойте Aztec Connect.

$100M Giveaway

BYBIT GIVEAWAY

$100M Giveaway

Акции, золото, нефть + до $1000 в NVDA · до 30 июня

Зарегистрироваться →

ТЕГИ:bridges cosmos security

ИСТОЧНИКИ:Cointelegraph The Block crypto.news

ByVolodymyr Polkovnichenko

Связаться:

Крипто- и data-аналитик, инженер-программист (факультет компьютерных наук ХНУРЭ). В IT с 2008 года: администрировал корпоративный мониторинг в «Vodafone Украина», семь лет разрабатывал и продвигал веб-проекты, пять лет руководил маркетингом на метриках — конверсия, CTR, ROI, LTV.Криптовалютными рынками занимаюсь с 2021 года: ончейн-метрики, токеномика, макроэкономические индикаторы. Разработал собственную data-driven модель анализа рынка на 30+ метрик. Стек — Python (pandas, NumPy, SciPy, matplotlib), математическая статистика и EDA; сбор и сверку данных автоматизирую AI-агентами.Принцип — «Don't trust, verify»: каждая цифра проверена по первоисточнику, ключевые — минимум по двум независимым; прогнозы — только сценарии с условиями. Тезис без данных не публикуется.