Axelar раскрыл взлом моста с Secret Network: хакер украл $4,67 млн через уязвимость «бесконечной эмиссии»

19 июня блокчейн-инфраструктурный проект Axelar официально подтвердил взлом кроссчейн-моста, соединяющего его экосистему с протоколом Secret Network. Злоумышленнику удалось вывести активы на сумму около $4,67 млн, воспользовавшись критической ошибкой в смарт-контракте, известной как «бесконечный минг» (infinite mint).
Кража оставалась незамеченной в течение семи дней — тревожный сигнал для всей индустрии, демонстрирующий, насколько уязвимыми могут быть даже, казалось бы, проверенные межсетевые мосты.
Как была проведена атака
Согласно анализу, проведённому командой Common Prefix — основным разработчиком Axelar, брешь была обнаружена в модифицированном контракте ICS-20, развёрнутом на стороне Secret Network в рамках IBC-соединения Cosmos. Проблема заключалась в том, что алгоритм, создающий «обёрнутые» версии активов (saToken), не верифицировал канал, из которого поступала входящая транзакция.
Это позволило хакеру сфальсифицировать депозиты и запустить эмиссию токенов без какого-либо обеспечения. Для реализации атаки он развернул собственную цепочку Cosmos с единственным валидатором, откуда и отправлял пакеты с поддельными номиналами активов.
Масштаб и последствия
Комитет по чрезвычайным ситуациям Axelar незамедлительно отключил соединения Secret и Secret-SNIP, чтобы предотвратить дальнейшие несанкционированные переводы. В настоящее время команда координирует действия с биржами и правоохранительными органами для отслеживания похищенных средств и их возможного возврата.
Важно подчеркнуть: инцидент затронул исключительно монеты saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network остались нетронутыми.
Реакция рынка
Несмотря на серьёзность инцидента, цена токена Secret (SCRT) продемонстрировала парадоксальную реакцию — в моменте она подскочила почти на 6%, достигнув отметки $0,06. После коррекции актив торгуется в районе $0,058, сохраняя суточный рост около 3%. Текущая капитализация составляет примерно $20 млн.
Для контекста: на историческом максимуме в октябре 2021 года SCRT стоил $10,64, что на 99,5% выше текущих котировок. Этот факт наглядно иллюстрирует, насколько глубоко рынок уже дисконтировал риски, связанные с проектом, ещё до данного взлома.

Экспертный комментарий Cryptalist: Данный инцидент — очередное напоминание о том, что безопасность кроссчейн-мостов остаётся «ахиллесовой пятой» всей DeFi-экосистемы. Уязвимость типа «бесконечный минг» — это не экзотический баг, а классическая ошибка в логике верификации, которую мы видели уже не раз. Пока команды не внедрят многоуровневые проверки каналов и автоматические системы мониторинга аномалий в реальном времени, такие атаки будут повторяться. Для инвесторов это сигнал: диверсификация активов — не панацея, если сам мост, через который они проходят, ненадёжен.