Міст Secret Network втратив 4,67 мільйона доларів через помилку "нескінченного мінтингу" у смарт-контракті. Атаку здійснили ще 10 червня, але виявили її лише сім днів потому. Поштовхом до розкриття стала технічна помилка "insufficient funds" у транзакції, що не пройшла через вичерпаний рахунок. Факт злому задокументувала компанія Common Prefix у п'ятницю, 20 червня.
Два проекти, одна вразлива точка
Secret Network це приватний блокчейн першого рівня на базі Cosmos, де контракти обробляють зашифровані дані, недоступні стороннім спостерігачам. Axelar це мережа децентралізованої інтероперабельності, що з'єднує різні мережі через загальний протокол передачі повідомлень. Їхній спільний міст і став точкою входу для атаки.
Вразливий смарт-контракт не перевіряв джерело вхідного переказу перед карбуванням токенів. Зловмисник надсилав підроблені "депозити" через власний канал, отримуючи у відповідь справжні saToken без жодного реального забезпечення за ними. Отримавши токени, він погасив їх через легітимні канали і вивів реальні обгорнуті активи з ескроу. Постраждалі активи охоплювали saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH.
За описом Common Prefix, атакуючий отримував справжні saToken без реального забезпечення, надсилаючи підроблені депозити через власний канал. Ескроу поступово спустів, а фальшиві токени перетворились на реальні кошти. Це класична схема нескінченного мінтингу, де замість прямого злому сховища компрометується механізм видачі доступу до нього.
Сім днів без виявлення
Атака тривала непоміченою з 10 по 17 червня. Зловмисник нарощував баланс поступово, уникаючи різких відхилень у мережевих показниках. Жодна автоматична сигналізація не спрацювала. Виявлення сталось випадково. Невдала транзакція видала помилку "insufficient funds" через вичерпаний рахунок. Common Prefix розпочала розслідування і 20 червня оприлюднила результати.
Secret Network сповістила власників 21 червня: "Якщо ви тримаєте saXXX-токени на Secret, їх забезпечення скомпрометовано і ваші кошти можуть бути втрачені". Жодного компенсаційного плану або строків відновлення проект не оголосив. Власники постраждалих активів наразі перебувають у стані невизначеності.
Тиждень прихованої роботи показує, що атакуючий добре розумів архітектуру протоколу. Він свідомо уникав великих одиничних транзакцій, методично виводячи активи невеликими порціями. Поки ескроу повністю не спорожнів, жоден моніторинговий інструмент не підняв тривоги.
Маршрут $4,67 млн: Ethereum, 30 гаманців, три біржі
Після виходу з ескроу вкрадені активи через мережу Axelar конвертувались у ETH на Ethereum. Це стандартний перший крок. Зловмисник переходить у найліквідніший актив на найпопулярнішому блокчейні, де великі обсяги транзакцій маскують окремі перекази.
Далі зловмисник розподілив кошти приблизно по 30 гаманцях, після чого депозити потрапили на KuCoin, ChangeNow і HitBTC. ChangeNow та HitBTC відомі дослідникам безпеки як платформи з меншими вимогами до верифікації, зручні для виводу незаконно отриманих коштів. Розбивка суми по десятках гаманців суттєво ускладнює процедуру заморозки активів на цих майданчиках.
Axelar: "Ані ми, ані IBC не скомпрометовані"
Axelar опублікував роз'яснення після того, що команда назвала "певною плутаниною" навколо інциденту. Команда Axelar повідомила, що вразливий контракт не розроблявся і не підтримувався ними. Протокол IBC лишився недоторканим. Механізм firewalling заблокував поширення збитків на суміжні мережі.
Незважаючи на офіційне відмежування, обидва токени торгуються на мінімумах. SCRT тримається на рівні $0,058, що на 99% нижче піку 2021 року. AXL коштує $0,045, тобто на 98% нижче максимуму 2024-го. Обидва активи давно перебувають у тривалому спаді, і нинішній інцидент навряд чи додасть їм відновлювального імпульсу.
Питання відповідальності залишається відкритим. Якщо вразливий контракт не розгортався командою Axelar, відповідальність за аудит і виправлення, швидше за все, лягає на розробників Secret Network або команду, що розгортала інтеграцію. Жодної конкретики з боку обох проектів поки немає.
Червень 2026: рекордна хвиля зломів мостів
За даними DeFiLlama, у червні 2026 зафіксовано щонайменше 22 зломи протоколів. Найбільшими стали Humanity Protocol (32 мільйони доларів) і Syscoin Bridge (8 мільйонів доларів). Secret Network з $4,67 млн посідає третє місце за масштабом у цьому місяці. Іще три зломи через містковий вектор зафіксовано за останні два тижні: Taiko ($1,7 млн), Aztec ($2,1 млн) і ряд менших інцидентів.
Більшість червневих атак об'єднує одна проблема. Вразливості у механізмах верифікації при міжланцюговому переміщенні активів дозволяють зловмисникам використовувати розрив між моделями безпеки двох мереж. Один слабкий контракт у ланцюгу відкриває доступ до реальних активів в іншому.
У випадку Secret Network відсутня перевірка джерела при мінтингу стала помилкою рівня аудиту, яку незалежна перевірка коду мала б виявити до розгортання. Доки індустрія не запровадить обов'язкового незалежного аудиту для всіх механізмів міжланцюгового обміну, подібні інциденти повторюватимуться.
Коментарі
Ваша e-mail адреса не оприлюднюватиметься. Обов'язкові поля позначені *