Взлом моста Secret Network: как «бесконечный» баг обернулся убытками на $4,7 млн

В ночь на 10 июня 2026 года в экосистеме Secret Network произошла одна из самых резонансных атак за последние месяцы. Хакер сумел воспользоваться уязвимостью в смарт-контракте кросс-чейн-моста, что позволило ему «создавать» токены без обеспечения. За неделю до обнаружения инцидента злоумышленник успел вывести активы на Ethereum, конвертировать их в ETH и распределить между десятками кошельков, прежде чем перевести средства на биржи. В результате потери составили $4,67 млн. Исследователи из компании Common Prefix подробно описали механизм атаки, а команда Secret Network призвала пользователей, владеющих токенами saXXX, к особой осторожности. Этот инцидент снова высветил риски, связанные с приватными блокчейнами и кросс-чейн-инфраструктурой, а также важность своевременного аудита смарт-контрактов.

Что произошло: уязвимость «бесконечной эмиссии» в механизме моста

По данным отчёта Common Prefix, атака началась с эксплуатации ошибки в логике контракта, ответственного за обмен токенов между Secret Network и другими блокчейнами через мост Axelar. В основе проблемы лежал дефект проверки входящих транзакций: смарт-контракт не проверял источник поступления токенов перед выпуском их обёрнутых аналогов (saTokens). Это означало, что злоумышленник мог отправить поддельные или фальшивые запросы через контролируемый канал, и система всё равно выпускала «настоящие» saTokens — при этом активы, которые должны были их обеспечивать, оставались нетронутыми. В результате в обороте появлялись токены, не обеспеченные реальными резервами в escrow-контрактах.

Эксплуатация этой уязвимости позволила хакеру многократно «создавать» токены, такие как saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH, без необходимости предоставлять соответствующее обеспечение. Поскольку контракт не проверял легитимность источника входящих средств, атакующий мог инициировать цепочку операций, в результате которой создавались токены с нулевой обеспеченностью. Это и дало название уязвимости — «infinite mint», или «бесконечная эмиссия». В реальности, конечно, эмиссия не была бесконечной, но масштаб её оказался достаточным, чтобы вывести значительную сумму за короткий промежуток времени.

Почему атака оставалась незамеченной целую неделю

Инцидент был обнаружен только 17 июня, спустя семь дней после первой транзакции. Как сообщает Common Prefix, триггером для расследования стала неудачная кросс-чейн-транзакция, которая завершилась ошибкой «недостаточно средств» на счете получателя. Эта ошибка вызвала подозрения, так как пользователь, отправивший транзакцию, располагал необходимым балансом. Последующий анализ показал, что средства были списаны ещё до проведения операции, что указывало на внешнее вмешательство.

В течение недели злоумышленник сумел переместить токены через мост в Ethereum, конвертировать их в ETH и затем разбить средства между примерно 30 различными кошельками. Это распределение было выполнено с целью затруднить отслеживание и возврат средств. После конвертации в ETH активы были переведены на биржи, включая KuCoin, ChangeNow и HitBTC. Таким образом, атака оставалась скрытой до тех пор, пока ошибка в пользовательской транзакции не выявила истинную причину проблем с балансами.

Технические детали: как работают saTokens и почему ошибка оказалась фатальной

Axelar — это децентрализованная сеть, предназначенная для обеспечения интероперабельности между различными блокчейнами. Она позволяет пользователям перемещать активы между сетями, оборачивая их в так называемые saTokens (Secret Asset tokens). Например, USDC из Ethereum может быть обёрнут в saUSDC на Secret Network. Эти saTokens обеспечиваются реальными активами, которые хранятся в escrow-контрактах на соответствующих блокчейнах. В нормальных условиях, при выводе токена из обёртки, система проверяет наличие обеспечения и списывает соответствующие средства.

Однако в случае с уязвимым контрактом на Secret Network проверка источника входящих токенов отсутствовала. Это означало, что злоумышленник мог отправить токены через любой канал, включая контролируемый им, и контракт всё равно выпускал saTokens. В результате создавались токены без обеспечения, что приводило к разбалансировке системы. Когда хакер начинал выводить эти токены обратно, реальные резервы в escrow-контрактах оказывались пустыми, что и приводило к ошибке «недостаточно средств».

Последствия для пользователей и экосистемы Secret Network

Команда Secret Network оперативно отреагировала на инцидент, опубликовав предупреждение для пользователей, владеющих токенами saXXX. В официальном заявлении было указано, что обеспечение этих токенов могло быть нарушено, и пользователям рекомендовалось проявлять осторожность. Хотя точные масштабы ущерба для конечных держателей токенов не были детализированы, очевидно, что часть пользователей могла потерять средства, если они обменяли saTokens на другие активы до обнаружения атаки.

Этот инцидент стал ещё одним напоминанием о том, как уязвимости в кросс-чейн-инфраструктуре могут иметь системные последствия. Secret Network, как приватный блокчейн, построенный на основе Cosmos SDK, позиционирует себя как платформу для конфиденциальных транзакций. Однако атака показала, что даже в таких системах уязвимости в смарт-контрактах могут приводить к значительным финансовым потерям. Более того, факт того, что атака оставалась незамеченной в течение недели, подчёркивает необходимость улучшения механизмов мониторинга и аудита в децентрализованных системах.

Контекст: почему атаки на мосты становятся всё более частыми

По данным DeFiLlama, за июнь 2026 года было зафиксировано как минимум 22 крупных инцидента, связанных с хаками и эксплуатацией уязвимостей в протоколах DeFi. Secret Network занял третье место по объёму потерь после Humanity Protocol ($32 млн) и Syscoin Bridge ($8 млн). Это свидетельствует о том, что кросс-чейн-мосты становятся одной из самых уязвимых точек в криптоиндустрии.

Причины такой уязвимости кроются в сложности архитектуры подобных систем. Мосты должны обеспечивать безопасный обмен активами между блокчейнами, что требует сложных механизмов консенсуса, проверки транзакций и управления резервами. Однако даже малейшие ошибки в логике контрактов могут привести к катастрофическим последствиям. Кроме того, децентрализованные системы часто лишены централизованного контроля, что усложняет процесс быстрого реагирования на инциденты.

Уроки для разработчиков и пользователей: как снизить риски

Для разработчиков основной урок заключается в необходимости строгого аудита смарт-контрактов, особенно в части проверки входящих транзакций и управления резервами. В случае Secret Network ошибка заключалась в отсутствии проверки источника токенов перед их эмиссией. В будущем такие уязвимости можно предотвратить с помощью формальной верификации контрактов, использования проверенных библиотек для работы с токенами и внедрения механизмов автоматического мониторинга необычных операций.

Для пользователей важно помнить, что даже токены, обёрнутые через reputable мосты, не гарантируют полной безопасности. Рекомендуется избегать хранения крупных сумм в обёрнутых токенах, особенно если речь идёт о новых или малоизвестных протоколах. Кроме того, стоит обращать внимание на официальные предупреждения от команд блокчейнов и оперативно реагировать на изменения в обеспечении токенов. Использование аппаратных кошельков и регулярный мониторинг балансов также помогут снизить риски.

Что дальше: как Secret Network и Axelar планируют исправить ситуацию

После инцидента Secret Network и Axelar оперативно приступили к расследованию и устранению последствий атаки. Команда Secret Network заявила о проведении внутреннего аудита и обновлении контрактов для предотвращения подобных уязвимостей в будущем. Axelar, в свою очередь, усилил контроль за резервами и внедрил дополнительные механизмы проверки транзакций. Однако, учитывая распределённый характер децентрализованных систем, полное устранение рисков требует времени и совместных усилий всех участников экосистемы.

Пользователям, чьи средства пострадали в результате атаки, предстоит длительный процесс возврата активов. В некоторых случаях пострадавшие могут рассчитывать на страховые фонды или компенсационные программы, но такие механизмы пока не являются стандартом в индустрии. Поэтому основной фокус сейчас сосредоточен на предотвращении подобных инцидентов в будущем, а не на возмещении ущерба.

Вывод: приватность и безопасность должны идти рука об руку

Инцидент с Secret Network стал очередным напоминанием о том, что безопасность децентрализованных систем не менее важна, чем их функциональность. Приватные блокчейны, такие как Secret Network, предлагают уникальные возможности для конфиденциальных транзакций, но их уязвимости могут иметь системные последствия. Кросс-чейн-мосты, обеспечивающие интероперабельность, становятся всё более популярными, но их сложная архитектура требует особого внимания к безопасности.

Для пользователей этот случай — ещё одно доказательство необходимости осторожности при работе с обёрнутыми токенами и кросс-чейн-мостами. Для разработчиков — призыв к строгому аудиту и внедрению лучших практик безопасности. И для всей индустрии — сигнал о том, что безопасность должна быть приоритетом на всех уровнях, от смарт-контрактов до пользовательских кошельков. Только так можно обеспечить доверие к децентрализованным системам и их дальнейшее развитие.