Взлом на $4,67 млн: как один поддельный канал в мосте Axelar–Secret обернулся «бесконечным минтом»
L o a d i n g
Главная > Новости > Безопасность

Взлом на $4,67 млн: как один поддельный канал в мосте Axelar–Secret обернулся «бесконечным минтом»

Поддельный канал в мосте Axelar–Secret обернулся «бесконечным минтом»

19 июня проект Axelar признал то, о чём в крипте всегда говорят неохотно: его мост с Secret Network взломали, а из системы утекло около $4,67 млн. Но прежде чем вешать ярлык «ещё один дырявый мост», стоит разобраться в одной важной детали. Сам протокол Axelar тут, по сути, ни при чём — пробоина оказалась на стороне Secret, в модифицированном контракте, который и открыл атакующему дорогу к чеканке активов из воздуха.


Неделя тишины: почему деньги утекали незаметно

Самое неприятное в этой истории — не размер ущерба, а то, как долго никто ничего не замечал. Кража стартовала ещё 10 июня и спокойно шла своим чередом почти неделю. Никаких тревожных сигналов, никаких сработавших мониторингов.


Всё вскрылось случайно и буднично: 17 июня обычный кроссчейн-перевод просто не прошёл. Причина — эскроу-счёт Axelar на стороне Secret оказался пуст. То есть систему вычистили настолько, что обеспечение под легитимные переводы закончилось, и только тогда стало ясно: что-то идёт совсем не так. Лучшей иллюстрации того, как уязвимость может тихо съедать резервы, пока её не «упрёшься носом», сложно придумать.


Где именно был баг и почему он так опасен

Разбор провела основная команда разработчиков Axelar — Common Prefix. Корень проблемы они нашли в смарт-контракте ICS-20 на стороне Secret, внутри Cosmos IBC-соединения. Контракт отвечал за выпуск «обёрнутых» версий активов — saToken. И у него был один фатальный пробел: он не проверял, из какого IBC-канала вообще пришла входящая транзакция.


Звучит как мелочь, но именно из таких «мелочей» и складываются восьмизначные потери. Раз контракт не разбирался, откуда прилетел депозит, атакующему оставалось его просто подделать — и чеканить токены без какого-либо обеспечения. Это и есть та самая уязвимость «бесконечного минта»: ты создаёшь активы из ничего, а контракт послушно их выпускает, считая всё легитимным.


Как провели саму атаку

Схема, которую выстроил злоумышленник, по-инженерному изящна — и оттого особенно показательна. Он не ломал чужую инфраструктуру в лоб, а построил свою:


  • запустил собственную Cosmos-цепочку — с одним-единственным валидатором, то есть полностью под своим контролем;
  • самостоятельно ретранслировал IBC-пакеты, подставляя в них поддельные номиналы активов;
  • необеспеченные sa-токены, появившиеся из этих фейковых депозитов, вывел через мост Axelar;
  • дальше — обмен через dApp Osmosis и другие сервисы, распыление средств по множеству адресов и частичный вывод на централизованные биржи.

Последний шаг — классика для отмыва: чем больше адресов и чем быстрее деньги попадают на CEX, тем сложнее распутывать клубок. Хотя именно выход на централизованные биржи оставляет следствию шанс — там есть KYC и возможность заморозки.


Что Axelar успел сделать

Реакция последовала по сценарию пожарной тревоги. Экстренный комитет Axelar отрубил соединения Secret и Secret-SNIP — чтобы новые несанкционированные переводы просто перестали проходить. Параллельно команда подключила криптобиржи и правоохранителей: цель — отследить похищенное и по возможности вернуть хотя бы часть.


Отдельно проект подчеркнул границы инцидента, и это принципиальный момент. Под удар попали только обёрнутые в Secret активы — saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. А вот базовый протокол Axelar, остальные его IBC-соединения и нативные активы самой Secret Network остались нетронутыми. То есть это не системный провал моста, а локальная пробоина в одном конкретном модифицированном контракте.


Парадокс рынка: монету ломают, а цена растёт

Реакция рынка на новость вышла откровенно контринтуитивной. Токен Secret (SCRT) на фоне взлома не рухнул, а краткосрочно прибавил 5–6%, заглянув в район $0,06. Потом скорректировался к $0,058, но умеренный суточный плюс всё равно удержал.


Объяснение, скорее всего, прозаичное: внимание. Полузабытый актив с капитализацией около $20 млн внезапно снова замелькал в лентах — а для низколиквидных монет даже негативный инфоповод порой работает как разгон. Но если отойти от суточного графика, картина отрезвляет. На пике в октябре 2021 года SCRT стоил $10,64. Сегодняшние $0,058 — это почти на 99,5% ниже того максимума. Никакой пятипроцентный отскок такую яму не отменяет; он лишь подсвечивает, насколько глубоко просел интерес к проекту за эти годы.


Главный урок этой истории

Вывод тут шире, чем сводка по одному инциденту. Кросс-чейн мосты остаются одним из самых хрупких мест всей DeFi-инфраструктуры — и ломаются они чаще всего не в «ядре», а на стыках и в кастомных доработках. Здесь дыра оказалась не в Axelar, а в модифицированном контракте на стороне Secret, который банально не проверял источник транзакции.


Отсюда и две неприятные правды. Первая: одна непроверенная переменная во входящем пакете способна обнулить эскроу на миллионы долларов. Вторая: атака может неделю оставаться невидимой, если мониторинг ловит сбои постфактум, а не аномальный минт в моменте. Пока обёрнутые активы держатся на доверии к контракту, который их выпускает, цена ошибки в этом контракте будет измеряться именно такими суммами.

  • Дата: 22.06.2026
  • Тема
    • Безопасность