Ограбление моста Secret Network на 4,67 млн $ началось с одной пропущенной проверки

Злоумышленник вывел около 4,67 млн $ с кроссчейн-моста Secret (SCRT), связанного с Axelar (AXL), воспользовавшись уязвимым контрактом, который чеканил ничем не обеспеченные токены из воздуха.

Ключевые моменты:

Мост Secret Network теряет миллионы

Кража началась 10 июня, однако оставалась незамеченной семь дней — поскольку Secret по умолчанию шифрует балансы, а пропавший залог так и не отобразился в цепочке. Инцидент обнаружился лишь 17 июня, когда плановый кросс-чейн перевод завершился ошибкой из-за опустевшего счёта эскроу. Следователи проследили недостачу до семи подозрительных выводов, совершённых в первый день.

Axelar подтвердил потерю 19 июня и в течение нескольких часов отключил затронутые соединения Secret и Secret-SNIP, подчеркнув при этом, что основной протокол не был затронут. Команда сообщила, что связалась с биржами и правоохранительными органами для отслеживания средств, около 672 000 $ из которых по-прежнему лежат нетронутыми в основном кошельке злоумышленника.

Читайте также: Отток из Bitcoin ETF достиг рекордных 6,35 млрд $, однако паническая продажа, возможно, идёт на спад

Уязвимость бесконечного минтинга обманула контракт

Уязвимый контракт чеканил Secret-обёрнутые копии бриджированных активов, однако никогда не проверял, из какого именно канала действительно поступил депозит, сверяя лишь название токена со списком разрешённых.

Исследовательская компания Common Prefix опубликовала разбор инцидента, описывающий, как эта единственная брешь привела к катастрофе. Поскольку сеть по умолчанию скрывает переводы, отследить злоумышленника оказалось значительно сложнее, чем на полностью прозрачном публичном реестре.

Чтобы воспользоваться уязвимостью, злоумышленник развернул цепочку с одним валидатором, открыл несанкционированный канал и самостоятельно ретранслировал поддельные пакеты с именами токенов, взятыми прямо из списка разрешённых.

Контракт принял их и выпустил настоящие, погашаемые токены, за которыми абсолютно ничего не стояло.

Погашение этих подделок через подлинный канал опустошило эскроу по семи обёрнутым активам. Уязвимость не была новой: компания сообщила, что та же логика находилась в коде с 2023 года и пережила миграцию в марте 2026 года. Secret также добавил, что внешний аудит не запрашивался при первоначальном создании моста.

Кросс-чейн мосты остаются под угрозой

Похищенные средства прошли через Osmosis, были обменяны на Ether (ETH) на децентрализованной бирже и рассредоточены по десяткам новых кошельков, прежде чем в итоге поступить на три централизованные биржи. Общая реакция рынка оказалась сдержанной: токен Axelar снизился примерно на 2,2% за день, а Secret остался практически на прежнем уровне.

Тем не менее этот инцидент продолжает мрачную тенденцию в сфере кросс-чейн инфраструктуры. Мосты, построенные на аналогичных схемах блокировки и минтинга, по-прежнему остаются наиболее уязвимой поверхностью в крипто-индустрии: схожие уязвимости обошлись отрасли более чем в 340 млн $ в 2026 году. В их числе — взлом Resolv на 25 млн $, потеря Verus на 11 млн $ и убыток IoTeX на 4 млн $.

Читайте далее: Бот JaredFromSubway теряет 7,5 млн $, попавшись на собственную приманку