Взлом моста Axelar и Secret Network: уязвимость «бесконечного минта» обошлась в $4,67 млн

19 июня блокчейн-проект Axelar официально подтвердил факт взлома моста, соединяющего его сеть с протоколом Secret Network. Злоумышленник сумел вывести приблизительно $4,67 млн, воспользовавшись критической уязвимостью, известной как «бесконечный минт» (infinite mint bug). Примечательно, что кража оставалась незамеченной в течение целых семи дней.
Как был реализован взлом?
Согласно анализу, проведенному командой Common Prefix — основным разработчиком Axelar, брешь была обнаружена в смарт-контракте ICS-20 на стороне Secret, который обеспечивает работу IBC-соединения в экосистеме Cosmos. Контракт создавал «обернутые» версии активов (saToken), но не проверял, из какого именно канала поступала входящая транзакция. Этот недостаток позволил атакующему сфальсифицировать депозиты и выпускать токены без какого-либо реального обеспечения. Поскольку операции не требовали разрешения, злоумышленник запустил в сети Cosmos собственную цепочку с единственным валидатором, из которой отправлял пакеты с фальшивыми номиналами активов.
Реакция и последствия
Комитет по чрезвычайным ситуациям Axelar незамедлительно отключил соединения Secret и Secret-SNIP, чтобы остановить новые несанкционированные переводы. В настоящее время команда координирует действия с биржами и правоохранительными органами для отслеживания похищенных средств и содействия их возврату. Важно подчеркнуть, что инцидент затронул только монеты saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network остались нетронутыми.
Рынок не паникует
Несмотря на серьезность инцидента, реакция рынка оказалась неожиданной. Цена токена Secret (SCRT) в моменте подскочила почти на 6%, достигнув отметки $0,06. После небольшой коррекции актив торгуется в районе $0,058, сохраняя суточный рост около 3%. Капитализация проекта составляет примерно $20 млн. Стоит отметить, что это капля в море по сравнению с историческим максимумом SCRT в октябре 2021 года, когда токен стоил $10,64 — то есть на 99,5% выше текущих котировок.
Экспертный комментарий: Данный инцидент — очередное напоминание о том, что безопасность кроссчейн-мостов остается одной из самых слабых точек в DeFi. Уязвимость «бесконечного минта» — это классический баг, который должен был быть выявлен на этапе аудита. Тот факт, что кража оставалась незамеченной в течение недели, говорит о недостаточном уровне мониторинга on-chain активности. Несмотря на временный рост SCRT, долгосрочное доверие к проекту может пошатнуться, если команда не продемонстрирует прозрачность в расследовании и не внедрит более надежные механизмы защиты.