Мост Secret Network потерял 4,67 миллиона долларов через ошибку "бесконечного минтинга" в смарт-контракте. Атаку провели ещё 10 июня, но обнаружили лишь через семь дней. Поводом для раскрытия стала техническая ошибка "insufficient funds" в транзакции, которая не прошла из-за исчерпанного счёта. Факт взлома задокументировала компания Common Prefix в пятницу, 20 июня.
Два проекта, одна уязвимая точка
Secret Network это блокчейн первого уровня на базе Cosmos с акцентом на конфиденциальность, где контракты обрабатывают зашифрованные данные, недоступные сторонним наблюдателям. Axelar это сеть децентрализованной интероперабельности, соединяющая разные сети через общий протокол передачи сообщений. Их общий мост и стал точкой входа для атакующего.
Уязвимый смарт-контракт не проверял источник входящего перевода перед минтингом токенов. Злоумышленник отправлял поддельные "депозиты" через собственный канал, получая в ответ настоящие saToken без реального обеспечения. Получив токены, он погасил их через легитимные каналы и вывел реальные обёрнутые активы из эскроу. Пострадавшие активы включали saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH.
По описанию Common Prefix, атакующий получал настоящие saToken без реального обеспечения, отправляя поддельные депозиты через подконтрольный ему канал. Эскроу постепенно опустел, а фальшивые токены превратились в реальные деньги. Это классическая схема бесконечного минтинга, где вместо прямого взлома хранилища компрометируется механизм доступа к нему.
Семь дней без обнаружения
Атака оставалась незамеченной с 10 по 17 июня. Злоумышленник наращивал баланс постепенно, избегая резких отклонений в сетевых показателях. Никакая автоматическая сигнализация не сработала. Обнаружение произошло случайно. Неудачная транзакция выдала ошибку "insufficient funds" через исчерпанный счёт. Common Prefix начала расследование и 20 июня опубликовала результаты.
Secret Network предупредила владельцев 21 июня: "Если вы держите saXXX-токены на Secret, их обеспечение скомпрометировано и ваши средства могут быть потеряны". Никакого компенсационного плана или сроков восстановления проект не объявил. Владельцы пострадавших активов пока находятся в состоянии неопределённости.
Неделя скрытой работы показывает, что атакующий хорошо понимал архитектуру протокола. Он намеренно избегал крупных одиночных транзакций, методично выводя активы небольшими порциями. Пока эскроу полностью не опустел, ни один мониторинговый инструмент не поднял тревоги.
Маршрут $4,67 млн: Ethereum, 30 кошельков, три биржи
После выхода из эскроу похищенные активы через сеть Axelar конвертировались в ETH на Ethereum. Это стандартный первый шаг. Злоумышленник переходит в наиболее ликвидный актив на самом популярном блокчейне, где большие объёмы транзакций маскируют отдельные переводы.
Далее злоумышленник распределил средства примерно по 30 кошелькам, после чего депозиты поступили на KuCoin, ChangeNow и HitBTC. ChangeNow и HitBTC известны исследователям безопасности как платформы с меньшими требованиями к верификации, удобные для вывода незаконно полученных средств. Разбивка суммы по десяткам кошельков существенно усложняет процедуру заморозки активов на этих площадках.
Axelar: "Ни мы, ни IBC не скомпрометированы"
Axelar опубликовал разъяснение после того, что команда назвала "определённой путаницей" вокруг инцидента. Команда Axelar сообщила, что уязвимый контракт не разрабатывался и не поддерживался ими. Протокол IBC остался нетронутым. Механизм firewalling заблокировал распространение последствий на смежные сети.
Несмотря на официальное отмежевание, оба токена торгуются на минимумах. SCRT держится на уровне $0,058, что на 99% ниже пика 2021 года. AXL стоит $0,045, то есть на 98% ниже максимума 2024-го. Оба актива давно находятся в затяжном спаде, и нынешний инцидент вряд ли добавит им восстановительного импульса.
Вопрос ответственности остаётся открытым. Если уязвимый контракт не разворачивался командой Axelar, ответственность за аудит и исправление скорее всего ложится на разработчиков Secret Network или команду, которая развёртывала интеграцию. Конкретики от обеих сторон пока нет.
Июнь 2026: рекордная волна взломов мостов
По данным DeFiLlama, в июне 2026 зафиксировано не менее 22 взломов протоколов. Крупнейшими стали Humanity Protocol (32 миллиона долларов) и Syscoin Bridge (8 миллионов долларов). Secret Network с $4,67 млн занимает третье место по масштабу в этом месяце. Ещё три взлома через мостовой вектор зафиксировано за последние две недели: Taiko ($1,7 млн), Aztec ($2,1 млн) и ряд более мелких инцидентов.
Большинство июньских атак объединяет одна проблема. Уязвимости в механизмах верификации при межцепочечном перемещении активов позволяют злоумышленникам эксплуатировать разрыв между моделями безопасности двух сетей. Один слабый контракт в цепочке открывает доступ к реальным активам в другой.
В случае Secret Network отсутствующая проверка источника при минтинге стала ошибкой уровня аудита, которую независимая проверка кода должна была выявить до развёртывания. Пока индустрия не введёт обязательный независимый аудит для всех механизмов межсетевого обмена, подобные инциденты будут повторяться.
Комментарии
Ваш e-mail адрес не будет опубликован. Обязательные поля отмечены *