Взлом моста Axelar и Secret Network: уязвимость «бесконечной эмиссии» привела к потере $4,67 млн

19 июня блокчейн-инфраструктурный проект Axelar официально подтвердил взлом кроссчейн-моста, соединяющего его сеть с протоколом Secret Network. Злоумышленнику удалось вывести приблизительно $4,67 млн, воспользовавшись критической уязвимостью, известной как «бесконечный минтинг» (infinite mint).
По данным аналитической команды Common Prefix, которая выступает ключевым разработчиком Axelar, брешь была обнаружена в смарт-контракте ICS-20, развернутом на стороне Secret Network в рамках IBC-соединения экосистемы Cosmos. Контракт отвечал за создание «обернутых» версий активов (saToken), но не проверял канал, из которого поступали входящие транзакции. Это позволило атакующему подделать депозиты и выпускать токены без реального обеспечения.
Поскольку операции в сети Secret Network не требовали разрешения, хакер запустил собственную цепочку Cosmos с единственным валидатором. Из этой цепочки он отправлял пакеты с фальшивыми номиналами активов, что привело к неконтролируемой эмиссии токенов.
Кража оставалась незамеченной в течение семи дней. Комитет по чрезвычайным ситуациям Axelar оперативно отключил соединения Secret и Secret-SNIP, чтобы предотвратить дальнейшие несанкционированные переводы. Команда проекта координирует действия с криптовалютными биржами и правоохранительными органами для отслеживания похищенных средств и их возврата.
Инцидент затронул только монеты saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network остались нетронутыми.
Несмотря на сообщение о краже, цена токена Secret (SCRT) в моменте выросла почти на 6%, достигнув $0,06. После коррекции актив торгуется в районе $0,058, сохраняя суточный рост около 3%. Капитализация составляет примерно $20 млн. При этом исторический максимум SCRT в октябре 2021 года составлял $10,64 — на 99,5% выше текущих котировок.
Мой анализ: Этот случай вновь подчеркивает системную проблему безопасности кроссчейн-мостов, особенно тех, что используют кастомные контракты без должного аудита входных каналов. Уязвимость «бесконечного минта» — классическая ошибка, которая могла быть предотвращена при более тщательном тестировании на этапе развертывания. Интересно, что рынок отреагировал на новость ростом SCRT, что может указывать на низкую эластичность спроса или веру сообщества в способность команды решить проблему без долгосрочных последствий для сети.