Критическая уязвимость «бесконечного минта» в мосту Axelar и Secret Network: хищение на $4,67 млн

19 июня блокчейн-инфраструктурный проект Axelar официально подтвердил факт взлома кроссчейн-моста, связывающего его сеть с протоколом Secret Network. В результате атаки злоумышленнику удалось вывести цифровые активы на сумму приблизительно $4,67 млн. Ключевой причиной инцидента стала эксплуатация уязвимости, известной как «бесконечный минт» (infinite mint bug).
Технические детали атаки
Как установила команда разработчиков Common Prefix, баг был обнаружен в модифицированной версии смарт-контракта CW20-ICS20, развернутого на стороне Secret Network в рамках IBC-соединения с экосистемой Cosmos. Проблема заключалась в отсутствии проверки канала, из которого поступали входящие транзакции. Алгоритм контракта автоматически создавал «обернутые» версии активов (saToken), не верифицируя легитимность депозита. Это позволило атакующему сфабриковать депозиты и неограниченно эмитировать токены без какого-либо реального обеспечения.
Примечательно, что злоумышленник не нуждался в разрешении для запуска операций. Он просто развернул в Cosmos собственную цепочку с одним валидатором, откуда пересылал пакеты с фиктивными номиналами активов. Кража оставалась незамеченной на протяжении семи дней — тревожный сигнал о недостатках в мониторинге on-chain активности.
Масштаб и реакция
Комитет по чрезвычайным ситуациям Axelar оперативно отключил соединения Secret и Secret-SNIP, чтобы предотвратить дальнейшие несанкционированные переводы. В настоящее время команда координирует действия с криптовалютными биржами и правоохранительными органами для отслеживания и возможного возврата похищенных средств. Важно подчеркнуть, что инцидент затронул исключительно монеты saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network не пострадали.
Рыночная реакция и контекст
Несмотря на столь серьезное событие, рынок отреагировал неожиданно позитивно. Цена нативного токена Secret (SCRT) в моменте подскочила почти на 6%, достигнув отметки $0,06. После коррекции актив торгуется в районе $0,058, сохраняя суточный рост около 3%. Текущая капитализация составляет примерно $20 млн. Однако стоит напомнить, что на историческом максимуме в октябре 2021 года SCRT стоил $10,64 — это означает падение на 99,5% от пиковых значений, что подчеркивает глубокий медвежий тренд для данного актива.
Мой экспертный анализ: Данный инцидент — еще одно напоминание о том, что уязвимости в смарт-контрактах мостов остаются одной из самых опасных угроз в DeFi. Отсутствие базовой проверки канала в ICS-20 контракте — грубая архитектурная ошибка, которая не должна была пройти аудит. Рост цены SCRT на фоне взлома скорее говорит о краткосрочной спекулятивной ликвидации шортов, чем о реальном восстановлении доверия к проекту. Инвесторам стоит крайне осторожно относиться к активам, чья стоимость упала на 99% от исторических максимумов, так как риски дальнейшей девальвации и технических проблем остаются высокими.