Взлом моста Axelar и Secret Network: уязвимость «бесконечного минта» обошлась в $4,67 млн

19 июня блокчейн-проект Axelar официально подтвердил факт взлома кроссчейн-моста, соединяющего его экосистему с протоколом Secret Network. Атакующий использовал критическую уязвимость, известную как «бесконечный минт», и вывел активы на сумму около $4,67 млн. Инцидент оставался незамеченным в течение семи дней, что подчеркивает недостаточную оперативность мониторинга в децентрализованных системах.
Детали атаки: как злоумышленник обошел защиту
Согласно анализу, проведенному основным разработчиком Axelar — командой Common Prefix, баг был обнаружен в смарт-контракте ICS-20, модифицированном для работы на стороне Secret Network в рамках IBC-соединения Cosmos. Уязвимость заключалась в отсутствии проверки канала, из которого поступала входящая транзакция. Это позволило атакующему сфабриковать депозиты и выпускать «обернутые» версии активов (saToken) без реального обеспечения.
Для эксплуатации уязвимости злоумышленник запустил собственную цепочку в экосистеме Cosmos с единственным валидатором. Через эту цепочку он отправлял пакеты с поддельными номиналами активов, что позволяло генерировать токены на Secret Network без каких-либо резервов.
Реакция и последствия
Комитет по чрезвычайным ситуациям Axelar немедленно отключил соединения Secret и Secret-SNIP, чтобы предотвратить дальнейшие несанкционированные переводы. Команда координирует действия с биржами и правоохранительными органами для отслеживания средств и их возможного возврата. Важно отметить, что инцидент затронул только монеты saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network остались нетронутыми.
Несмотря на новость о краже, рынок отреагировал парадоксально: цена токена Secret (SCRT) подскочила почти на 6%, достигнув $0,06, а затем скорректировалась до $0,058, сохранив суточный рост около 3%. Капитализация составляет примерно $20 млн. Для сравнения, на историческом максимуме в октябре 2021 года SCRT стоил $10,64, что на 99,5% выше текущих котировок. Это говорит о том, что инвесторы пока не видят в этом инциденте фундаментальной угрозы для сети, хотя уязвимость в мостах остается одной из самых острых проблем DeFi.
Экспертный анализ
Данный случай вновь подтверждает, что кроссчейн-мосты остаются «ахиллесовой пятой» децентрализованных экосистем. Уязвимость «бесконечного минта» — классическая ошибка в логике смарт-контрактов, которая требует тщательного аудита всех проверок каналов и обеспечений. В долгосрочной перспективе, если команды не усилят безопасность мостов, такие инциденты будут подрывать доверие к межсетевым протоколам, особенно в условиях падающего рынка, где каждый доллар на счету.