Взлом моста Axelar и Secret Network: уязвимость «бесконечного минта» на $4,67 млн
19 июня блокчейн-проект Axelar официально подтвердил взлом моста, соединяющего его с протоколом Secret Network. В результате атаки злоумышленник вывел около $4,67 млн, эксплуатируя критическую уязвимость, известную как «бесконечный минт» (infinite-mint bug).
Как показывают результаты моего анализа, инцидент оставался незамеченным в течение семи дней. Основной разработчик Axelar, команда Common Prefix, выявила, что баг был заложен в смарт-контракте ICS-20 на стороне Secret Network, используемом в IBC-соединении экосистемы Cosmos. Проблема заключалась в том, что алгоритм создавал «обернутые» версии активов (saToken), но не проверял, из какого именно канала поступала входящая транзакция. Это позволило атакующему подделать депозиты и эмитировать токены без реального обеспечения.
Поскольку операции в сети Cosmos не требовали разрешений, злоумышленник запустил собственную цепочку с одним валидатором. Из нее он отправлял пакеты с фальшивыми номиналами активов, что и привело к несанкционированной эмиссии. В ответ комитет по чрезвычайным ситуациям Axelar оперативно отключил соединения Secret и Secret-SNIP, чтобы предотвратить дальнейшие переводы. Сейчас команда координирует действия с биржами и правоохранительными органами для отслеживания похищенных средств и их возврата.
Важно подчеркнуть, что инцидент затронул только определенные активы: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network остались нетронутыми. Это говорит о локальном характере атаки, но не умаляет серьезности уязвимости в межсетевой инфраструктуре.
Несмотря на шокирующие новости, рынок отреагировал парадоксально. Цена токена Secret (SCRT) на момент публикации подскочила почти на 6%, достигнув $0,06. После небольшой коррекции актив торгуется около $0,058, сохраняя суточный рост примерно в 3%. Капитализация составляет порядка $20 млн. Для сравнения: на историческом максимуме в октябре 2021 года SCRT стоил $10,64 — это на 99,5% выше текущих котировок. Такая динамика указывает на то, что рынок, возможно, отыгрывает факт быстрого реагирования команды, а не сам взлом.
Экспертное мнение Cryptalist: Данный инцидент — очередное напоминание о том, что межсетевые мосты остаются самой уязвимой точкой в DeFi. Уязвимость «бесконечного минта» — классическая ошибка, связанная с недостаточной валидацией каналов в IBC-протоколах. Пока команды не внедрят более строгие механизмы проверки на уровне контрактов, подобные атаки будут повторяться. Инвесторам стоит внимательнее относиться к активам, проходящим через такие мосты, особенно в периоды высокой волатильности.