Діра в кастомному контракті: міст Secret Network тиждень «друкував» нічим не забезпечені токени

Оновлення: 2026/06/22

2 хв. читання

Mystery Box до 500 USDC

BINANCE • до 26.06

Mystery Box до 500 USDC

Запрошуй друзів на Binance — збирай бокси

Приєднатися

Що сталося

Атакувальник вивів близько $4,67 млн з мосту Secret Network, що працює через Axelar, скориставшись багом типу infinite mint — «нескінченним карбуванням» нічим не забезпечених токенів. Сама атака сталася 10 червня 2026 року, але лишалася непоміченою цілий тиждень: її виявили лише 17 червня, коли невдала крос-чейн-транзакція видала помилку «недостатньо коштів» на спустошеному рахунку.

Що сталося
Деталі
Що це означає
Контекст

Деталі

Механіка багу: контракт Secret Network не перевіряв джерело вхідного переказу перед карбуванням — це дозволило підробити депозити й випустити справжні saTokens без жодного забезпечення.
Як саме: атакувальник підняв фейкову Cosmos-мережу з єдиним валідатором, відкрив новий IBC-канал до Secret і сам ретранслював підроблені IBC-пакети з «голими» позначеннями токенів, що збігалися з дозволеним списком.
Що злили: сім обгорнутих токенів — saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH.
Куди пішли гроші: у мережу Ethereum, де їх сконвертували в ETH, розкидали приблизно по 30 гаманцях і завели на біржі KuCoin, ChangeNow та HitBTC.
Реакція: екстрений комітет Axelar відключив з’єднання Secret і Secret-SNIP. В Axelar наголосили, що сам протокол скомпрометований не був, а вразливий контракт розробляла не їхня команда.

Що це означає

Кого стосується: власників обгорнутих через Axelar saXXX-токенів на Secret Network — команда прямо попередила, що їхнє забезпечення постраждало й кошти можуть бути втрачені. Ризик із цифрою: в обігу опинилося $4,67 млн нічим не забезпечених токенів, а маршрути мосту вже відключені — швидко «вийти» через той самий міст не вдасться. Горизонт: збиток уже зафіксовано, шанси на повернення низькі — гроші сконвертовані в ETH і розведені по біржах. Головний урок: діра була не в самому Axelar, а в кастомному контракті поверх нього — перевіряти потрібно весь ланцюжок, а не лише «бренд» базового протоколу. І знову, як і у випадку з Taiko, найслабшою ланкою виявився міст.

Контекст

Це частина низки мостових експлойтів 2026 року, коли атакувальник обходить верифікацію і карбує/виводить активи без забезпечення. Схожий розбір «легасі-контракт і підробка стану» — у нашому матеріалі про експлойт Aztec Connect.

Приз-фонд $40K+

BINANCE

Приз-фонд $40K+

Перший до $175M обсягу — +7000 USDC

ТОРГУВАТИ

ТЕГИ:bridges cosmos security

ДЖЕРЕЛА:Cointelegraph The Block crypto.news

Поділитися

ByVolodymyr Polkovnichenko

Зв'язатися:

Крипто- та data-аналітик, інженер-програміст (факультет комп'ютерних наук ХНУРЕ). В IT з 2008 року: адміністрував корпоративний моніторинг у «Vodafone Україна», сім років розробляв і просував веб-проєкти, п'ять років керував маркетингом на метриках — конверсія, CTR, ROI, LTV.Криптовалютними ринками займаюся з 2021 року: ончейн-метрики, токеноміка, макроекономічні індикатори. Розробив власну data-driven модель аналізу ринку на 30+ метрик. Стек — Python (pandas, NumPy, SciPy, matplotlib), математична статистика та EDA; збір і звірку даних автоматизую AI-агентами.Принцип — «Don't trust, verify»: кожна цифра перевірена за першоджерелом, ключові — щонайменше за двома незалежними; прогнози — лише сценарії з умовами. Теза без даних не публікується.