Взлом моста Axelar и Secret Network: уязвимость «бесконечного минта» обошлась в $4,67 млн

19 июня блокчейн-проект Axelar официально подтвердил взлом кроссчейн-моста, соединяющего его с протоколом Secret Network. Злоумышленник, используя уязвимость «бесконечного минта», вывел около $4,67 млн в обернутых активах. Инцидент оставался незамеченным в течение семи дней, что указывает на недостаточный уровень мониторинга транзакций на стороне Secret Network.
Детали атаки и техническая подоплека
По данным ведущего разработчика Axelar — Common Prefix, баг был обнаружен в смарт-контракте ICS-20, развернутом на Secret Network в рамках Cosmos IBC-соединения. Проблема заключалась в том, что контракт, создающий «обернутые» версии активов (saToken), не проверял канал происхождения входящих транзакций. Это позволило атакующему сфальсифицировать депозиты и выпускать токены без реального обеспечения.
Для реализации атаки злоумышленник запустил в экосистеме Cosmos новую цепочку с одним валидатором. Из этой цепочки он пересылал пакеты с фейковыми номиналами активов, что привело к эмиссии необеспеченных saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Операции не требовали разрешения, что сделало уязвимость легкодоступной для эксплуатации.
Реакция и последствия для рынка
Комитет по чрезвычайным ситуациям Axelar оперативно отключил соединения Secret и Secret-SNIP, чтобы остановить дальнейшие несанкционированные переводы. Команда координирует действия с биржами и правоохранительными органами для отслеживания средств и их возможного возврата. Важно подчеркнуть, что основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network не были затронуты.
Несмотря на сообщение о взломе, цена токена Secret (SCRT) в моменте подскочила почти на 6%, достигнув $0,06. После коррекции актив торгуется в районе $0,058, сохраняя суточный рост около 3%. Капитализация составляет примерно $20 млн. При этом на историческом максимуме в октябре 2021 года SCRT стоил $10,64, что на 99,5% превышает текущие котировки.
Экспертное мнение
Этот инцидент — очередной тревожный сигнал для всей индустрии кроссчейн-мостов. Уязвимости типа «бесконечного минта» становятся классикой, но проекты продолжают игнорировать базовые проверки каналов и аудит смарт-контрактов. Пока мосты остаются слабым звеном DeFi, инвесторам стоит ожидать повторения подобных атак, особенно на менее ликвидных сетях, где мониторинг безопасности оставляет желать лучшего.