Взлом моста Axelar и Secret Network: уязвимость «бесконечного минта» привела к потере $4,67 млн
19 июня блокчейн-проект Axelar официально подтвердил факт взлома кроссчейн-моста, соединяющего его сеть с протоколом Secret Network. Злоумышленник сумел вывести примерно $4,67 млн, эксплуатируя критическую уязвимость, известную как «бесконечный минг» (infinite mint).
Как показал анализ, проведенный ведущим разработчиком Axelar — командой Common Prefix, баг был обнаружен в смарт-контракте ICS-20 на стороне Secret Network, работающем через IBC-соединение в экосистеме Cosmos. Проблема заключалась в том, что алгоритм, создающий «обернутые» версии активов (saToken), не проверял, из какого именно канала поступала входящая транзакция. Это дало атакующему возможность подделать депозиты и выпускать токены без реального обеспечения.
Поскольку операции не требовали разрешения, злоумышленник запустил в Cosmos собственную цепочку с одним валидатором. Через неё он пересылал пакеты с фиктивными номиналами активов, фактически «напечатав» средства из воздуха. Примечательно, что кража оставалась незамеченной на протяжении семи дней — это говорит о недостаточном уровне мониторинга со стороны команд.
Комитет по чрезвычайным ситуациям Axelar оперативно отключил соединения Secret и Secret-SNIP, чтобы остановить дальнейшие несанкционированные переводы. Сейчас команда координирует действия с биржами и правоохранительными органами для отслеживания украденных средств и их возможного возврата.
Важно подчеркнуть, что инцидент ограничен конкретными монетами: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network не пострадали. Тем не менее, это ещё один тревожный сигнал для индустрии: уязвимости в кроссчейн-мостах остаются одной из главных угроз безопасности.
Несмотря на негативные новости, цена токена Secret (SCRT) в моменте подскочила почти на 6%, достигнув $0,06. После коррекции актив торгуется в районе $0,058, сохраняя суточный рост около 3%. Капитализация проекта составляет примерно $20 млн. Для контекста: на историческом максимуме в октябре 2021 года SCRT стоил $10,64, что на 99,5% выше текущих котировок. Столь резкое падение с пиковых уровней — характерный признак потери доверия инвесторов и снижения активности в сети.
Мнение эксперта: Подобные атаки на мосты продолжают демонстрировать системные риски, связанные с недостаточной верификацией межсетевых транзакций. Инцидент с Axelar и Secret Network — не единичный случай. Ранее в июне хакеры дважды атаковали устаревшие контракты в L2-сети Aztec, нанеся ущерб в $2,19 млн и $2,15 млн. Индустрии срочно требуется внедрение более строгих аудитов и механизмов реального времени для обнаружения аномалий, иначе подобные потери станут новой нормой.