Взлом моста Axelar и Secret Network: уязвимость «бесконечного минта» привела к потере $4,67 млн

19 июня блокчейн-проект Axelar официально подтвердил факт взлома кроссчейн-моста, соединяющего его с протоколом Secret Network. Злоумышленник сумел вывести активы на сумму примерно $4,67 млн, воспользовавшись критической уязвимостью, известной как «бесконечный минг» (infinite mint).
Как показал анализ, проведенный командой Common Prefix, баг был обнаружен в смарт-контракте ICS-20, развернутом на стороне Secret Network в рамках соединения Cosmos IBC. Этот контракт отвечал за создание «обернутых» версий активов (saToken), однако не проверял канал, из которого поступала входящая транзакция. Это позволило атакующему подделывать депозиты и эмитировать токены без реального обеспечения.
Злоумышленник запустил собственную цепочку Cosmos с одним валидатором, из которой отправлял пакеты с фейковыми номиналами активов. Операции не требовали разрешения, что сделало атаку простой в исполнении. Кража оставалась незамеченной на протяжении семи дней.
Комитет по чрезвычайным ситуациям Axelar немедленно отключил соединения Secret и Secret-SNIP, чтобы предотвратить новые несанкционированные переводы. Команда координирует действия с биржами и правоохранительными органами для отслеживания средств и их возможного возврата.
Инцидент затронул только монеты saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network не пострадали.
Несмотря на новость о краже, цена токена Secret (SCRT) в моменте подскочила почти на 6%, достигнув $0,06. После коррекции актив торгуется в районе $0,058, сохраняя суточный рост около 3%. Капитализация составляет примерно $20 млн. При этом исторический максимум SCRT в октябре 2021 года составлял $10,64, что на 99,5% выше текущих котировок.
Комментарий эксперта: Атака на мост Axelar — очередное напоминание о том, что даже в зрелых экосистемах, таких как Cosmos, могут оставаться критические баги в смарт-контрактах. Уязвимость типа «бесконечный минг» — классическая ошибка, которую разработчики должны выявлять на этапе аудита. Тот факт, что кража оставалась незамеченной неделю, указывает на недостаточный мониторинг on-chain активности. Инвесторам стоит обратить внимание на проекты, которые внедряют автоматизированные системы обнаружения аномалий.