Новости криптоиндустрии

Дыра в кастомном контракте: мост Secret Network неделю «печатал» ничем не обеспеченные токены

2 мин. чтения
Дыра в кастомном контракте: мост Secret Network неделю «печатал» ничем не обеспеченные токены
$100M Giveaway
BYBIT GIVEAWAY
$100M Giveaway
Акции, золото, нефть + до $1000 в NVDA · до 30 июня
Зарегистрироваться →

Что произошло

Атакующий вывел около $4,67 млн с моста Secret Network, работающего через Axelar, использовав баг типа infinite mint — «бесконечную чеканку» ничем не обеспеченных токенов. Сама атака произошла 10 июня 2026 года, но оставалась незамеченной целую неделю: её обнаружили только 17 июня, когда неудачная кросс-чейн-транзакция выдала ошибку «недостаточно средств» на опустошённом счёте.

Детали

  • Механика бага: контракт Secret Network не проверял источник входящего перевода перед чеканкой — это позволило подделать депозиты и выпустить реальные saTokens без какого-либо обеспечения.
  • Как именно: атакующий поднял фейковую Cosmos-сеть с единственным валидатором, открыл новый IBC-канал к Secret и сам ретранслировал поддельные IBC-пакеты с «голыми» обозначениями токенов, совпадавшими с разрешённым списком.
  • Что слили: семь обёрнутых токенов — saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH.
  • Куда ушли деньги: в сеть Ethereum, где их сконвертировали в ETH, разбросали примерно по 30 кошелькам и завели на биржи KuCoin, ChangeNow и HitBTC.
  • Реакция: экстренный комитет Axelar отключил соединения Secret и Secret-SNIP. В Axelar подчеркнули, что сам протокол скомпрометирован не был, а уязвимый контракт разрабатывала не их команда.

Что это значит

Кого касается: держателей обёрнутых через Axelar saXXX-токенов на Secret Network — команда прямо предупредила, что их обеспечение пострадало и средства могут быть потеряны. Риск с цифрой: в обороте оказалось $4,67 млн ничем не обеспеченных токенов, а маршруты моста уже отключены — быстро «выйти» через тот же мост не получится. Горизонт: ущерб уже зафиксирован, шансы на возврат низкие — деньги конвертированы в ETH и разведены по биржам. Главный урок: дыра была не в самом Axelar, а в кастомном контракте поверх него — проверять нужно всю цепочку, а не только «бренд» базового протокола. И снова, как и в случае с Taiko, слабым звеном оказался мост.

Контекст

Это часть череды мостовых эксплойтов 2026 года, когда атакующий обходит верификацию и чеканит/выводит активы без обеспечения. Похожий разбор «легаси-контракт и подделка состояния» — в нашем материале об эксплойте Aztec Connect.

$30,100 + $5,030
Bybit
$30,100 + $5,030
100 USDT в подарок
Получить →
ТЕГИ:
ИСТОЧНИКИ:CointelegraphThe Blockcrypto.news
Поделиться
admin
ByVolodymyr Polkovnichenko
Связаться:
Крипто- и data-аналитик, инженер-программист (факультет компьютерных наук ХНУРЭ). В IT с 2008 года: администрировал корпоративный мониторинг в «Vodafone Украина», семь лет разрабатывал и продвигал веб-проекты, пять лет руководил маркетингом на метриках — конверсия, CTR, ROI, LTV.Криптовалютными рынками занимаюсь с 2021 года: ончейн-метрики, токеномика, макроэкономические индикаторы. Разработал собственную data-driven модель анализа рынка на 30+ метрик. Стек — Python (pandas, NumPy, SciPy, matplotlib), математическая статистика и EDA; сбор и сверку данных автоматизирую AI-агентами.Принцип — «Don't trust, verify»: каждая цифра проверена по первоисточнику, ключевые — минимум по двум независимым; прогнозы — только сценарии с условиями. Тезис без данных не публикуется.
Предыдущая статья Эксплойт моста Taiko: подделанные proof'ы, $1,7 млн и срочный вывод средств Эксплойт моста Taiko: подделанные proof’ы, $1,7 млн и срочный вывод средств
Следующая статья Шесть недель оттока подряд: биткоин застрял у $64 000 под давлением сильного доллара Шесть недель оттока подряд: биткоин застрял у $64 000 под давлением сильного доллара
Новости
$1000
BYBIT · ФЬЮЧЕРСЫ
Дроп для новых трейдеров
$1000
Награды за фьючерсы. Депозит до 30 июня — и ты в игре.
Участвовать →
Призовой пул · до 30.06.2026

Вам будет интересно

Эксплойт бесконечного минта опустошил мост Axelar–Secret Network на $4,67 млн — не замечали 7 дней
Новости криптоиндустрии

Эксплойт бесконечного минта опустошил мост Axelar–Secret Network на $4,67 млн — не замечали 7 дней

By Volodymyr Polkovnichenko
Спотові біткоїн-ETF втратили рекордні $6,35 млрд за 30 днів — шостий тиждень відтоків поспіль
Новости криптоиндустрии

Спотовые биткоин-ETF потеряли рекордные $6,35 млрд за 30 дней — шестая неделя оттоков подряд

By Volodymyr Polkovnichenko
Печально известного бота сэндвич-атак Jaredfromsubway.eth опустошили на $7,5 млн его же оружием
Новости криптоиндустрии

Печально известного бота сэндвич-атак Jaredfromsubway.eth опустошили на $7,5 млн его же оружием

By Volodymyr Polkovnichenko
Из Ethereum Foundation уходит второй содиректор за четыре месяца — на фоне предупреждения о разрыве финансирования
Новости криптоиндустрии

Из Ethereum Foundation уходит второй содиректор за четыре месяца — на фоне предупреждения о разрыве финансирования

By Volodymyr Polkovnichenko
Привилегированные акции Strategy упали к рекордным минимумам — машина покупок биткоина встала на паузу
Новости криптоиндустрии

Привилегированные акции Strategy упали к рекордным минимумам — машина покупок биткоина встала на паузу

By Volodymyr Polkovnichenko
Евросоюз отрезает приватные монеты от регулируемых площадок — но не трогает биткоин в самокастоди
Новости криптоиндустрии

Евросоюз отрезает приватные монеты от регулируемых площадок — но не трогает биткоин в самокастоди

By Volodymyr Polkovnichenko
Прихований майнер на ПК: як виявити, видалити і захиститися у 2026
Кошельки и безопасность

Скрытый майнер на ПК: как обнаружить, удалить и защититься

By Volodymyr Polkovnichenko
Upbit добавляет сразу 9 токенов: волатильность в LDO, PAXG, Morpho и Osmosis
Новости криптоиндустрии

Upbit добавляет сразу 9 токенов: волатильность в LDO, PAXG, Morpho и Osmosis

By Volodymyr Polkovnichenko