Эксплойт моста Axelar и Secret Network: атака «бесконечной чеканки» на $4,67 млн

19 июня блокчейн-инфраструктурный проект Axelar официально подтвердил взлом кроссчейн-моста, связывающего его сеть с протоколом Secret Network. В результате атаки злоумышленник вывел примерно $4,67 млн, воспользовавшись уязвимостью типа «бесконечный минг» (infinite mint).
Технические детали эксплойта
Мой анализ показывает, что инцидент оставался незамеченным в течение семи дней. Согласно данным ведущего разработчика Axelar — Common Prefix, брешь была обнаружена в смарт-контракте ICS-20, модифицированном для Secret Network в рамках IBC-соединения с экосистемой Cosmos. Контракт, отвечающий за создание «обернутых» активов (saToken), не проверял канал происхождения входящих транзакций. Это позволило атакующему подделать депозиты и эмитировать необеспеченные токены.
Поскольку операции в протоколе не требовали разрешения, злоумышленник запустил новую цепочку Cosmos с единственным валидатором. Через неё он отправлял пакеты с фиктивными номиналами активов, фактически «напечатав» токены из воздуха.
Масштаб и реакция
Комитет по чрезвычайным ситуациям Axelar оперативно отключил все соединения с Secret Network и Secret-SNIP, чтобы предотвратить дальнейшие несанкционированные переводы. Команда уже координирует действия с биржами и правоохранительными органами для отслеживания средств. Важно подчеркнуть, что инцидент затронул только монеты saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network остались нетронутыми.
Рынок реагирует парадоксально
Несмотря на сообщение о краже, цена нативного токена Secret (SCRT) в моменте подскочила почти на 6%, достигнув $0,06. После коррекции актив торгуется около $0,058, сохраняя суточный рост примерно 3%. Капитализация составляет около $20 млн. При этом с исторического максимума в октябре 2021 года на уровне $10,64 SCRT обвалился на 99,5%.

Этот случай напоминает о системных рисках, которые несут устаревшие или плохо протестированные смарт-контракты в кроссчейн-мостах. Ранее в июне хакеры дважды атаковали устаревшие контракты в L2-сети Aztec, нанеся ущерб на $2,19 млн и $2,15 млн соответственно.
Моя экспертная оценка: Данный инцидент — очередное звено в цепи атак на мостовые решения, которые остаются самой уязвимой точкой в DeFi-инфраструктуре. Отсутствие проверки канала входящих транзакций — грубая, но классическая ошибка. Инвесторам следует внимательнее относиться к проектам, где обёрнутые активы эмитируются без жёсткой верификации. Пока команда Axelar не предоставит полный аудит и план исправлений, доверие к мосту останется под вопросом.