Уязвимость «бесконечного минта» в мосте Axelar и Secret Network: потеря $4,67 млн и реакция рынка
19 июня команда блокчейн-проекта Axelar раскрыла инцидент, связанный с эксплуатацией моста между Axelar и протоколом Secret Network. В результате атаки злоумышленник вывел активы на сумму около $4,67 млн, использовав критическую уязвимость, известную как «бесконечный минг» (infinite mint).
Согласно анализу, проведенному основным разработчиком Axelar — Common Prefix, баг был обнаружен в смарт-контракте ICS-20 на стороне Secret Network в рамках IBC-соединения экосистемы Cosmos. Алгоритм, предназначенный для создания «обернутых» версий активов (saToken), не проверял, из какого канала поступала входящая транзакция. Это позволило атакующему сфальсифицировать депозиты и выпускать токены без реального обеспечения.
Злоумышленник запустил в Cosmos собственную цепочку с одним валидатором, из которой отправлял пакеты с поддельными номиналами активов. Кража оставалась незамеченной на протяжении семи дней, что свидетельствует о сложности обнаружения подобных уязвимостей в кроссчейн-инфраструктуре.
Масштаб и реакция
Инцидент затронул исключительно монеты saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network не пострадали. Комитет по чрезвычайным ситуациям Axelar оперативно отключил соединения Secret и Secret-SNIP, чтобы остановить новые несанкционированные переводы. Команда координирует действия с биржами и правоохранительными органами для отслеживания средств и содействия их возврату.
Несмотря на сообщение о краже, цена токена Secret (SCRT) в моменте подскочила почти на 6%, достигнув $0,06. После коррекции актив торгуется в районе $0,058, сохраняя суточный рост около 3%. Капитализация составляет примерно $20 млн. При этом на историческом максимуме в октябре 2021 года SCRT стоил $10,64, что на 99,5% превышает текущие котировки.
Аналитический комментарий
Этот инцидент подчеркивает фундаментальную проблему безопасности в кроссчейн-мостах, особенно тех, что используют сложные контракты с модифицированными протоколами. Уязвимость «бесконечного минта» — классический пример того, как недостаточная валидация входящих данных может привести к неограниченной эмиссии активов. Рынок, однако, отреагировал неожиданно: краткосрочный рост SCRT указывает на то, что инвесторы могут воспринимать подобные атаки как временные сбои, а не системные угрозы. В долгосрочной перспективе такие события неизбежно подрывают доверие к децентрализованным финансовым мостам, что требует от разработчиков более жестких мер по аудиту и мониторингу.