Що сталося
Міст між Secret Network і Axelar спустошили на $4,67 млн. Атакувальник скористався відсутньою перевіркою у смартконтракті Secret Network: він «намайнив» незабезпечені токени й вивів реальні активи з ескроу. Атака сталася 10 червня 2026 року й залишалася непоміченою сім днів — до 17 червня, коли збій під час крос-чейн переказу оголив, що ескроу-рахунок Axelar порожній.
Деталі
- Викрадено близько $4,67 млн у семи активах: обгорнуті USDT, USDC, DAI, WETH, WBTC, WBNB і wstETH (The Block, Cryptopolitan).
- Як спрацювало: атакувальник підняв Cosmos-ланцюг з єдиним валідатором, відкрив канал до контракту моста й сам собі «релеїв» підроблені пакети з тими самими позначеннями токенів, що були в allow-list контракту. Контракт не відрізнив їх від справжніх, випустив saTokens, а під час погашення через справжній канал Axelar вивільнив активи з ескроу.
- Вада в модифікованому контракті CW20-ICS20 існувала в задеплоєному коді з березня 2023 року.
- Близько $770 000 усе ще лежать у гаманці атакувальника; Axelar відхилив прохання заморозити їх.
- Екстрений комітет Axelar вимкнув з’єднання Secret і Secret-SNIP; ядро протоколу, за заявою команди, не постраждало.
Що це означає
Кого стосується: користувачів крос-чейн мостів в екосистемі Cosmos і тих, хто тримав обгорнуті активи на Secret Network. Ризик із цифрою: $4,67 млн витекли через діру, що прожила в коді понад два роки, а сам інцидент тиждень ніхто не помічав — це нагадування, що мости лишаються найкрихкішою ланкою крипти. Горизонт: вразливі з’єднання вже вимкнено, але кошти не повернуто; користувачам зачеплених маршрутів варто перевірити баланси й не користуватися мостом до відновлення.
Контекст
Це вже не перший експлойт через давно задеплоєний або забутий код — нещодавно схожим чином постраждав протокол Thetanuts. Спільний мотив — неперевірена логіка в контрактах, до якої роками не поверталися, доки її не знайшов атакувальник.
