Взлом моста Axelar и Secret Network: уязвимость «бесконечного минта» обошлась в $4,67 млн
19 июня команда блокчейн-проекта Axelar раскрыла детали взлома кроссчейн-моста, соединяющего их сеть с протоколом Secret Network. Злоумышленник использовал критическую уязвимость, известную как «бесконечный минг» (infinite mint), и вывел цифровые активы на сумму около $4,67 млн. Примечательно, что кража оставалась незамеченной на протяжении семи дней — это говорит о недостаточной оперативности систем мониторинга в цепочке Secret.
Согласно анализу, проведённому ведущим разработчиком Axelar — командой Common Prefix, баг был обнаружен в смарт-контракте ICS-20, развёрнутом на стороне Secret Network в рамках IBC-соединения Cosmos. Алгоритм предназначен для создания «обёрнутых» версий активов (saToken), однако он не проверял, из какого именно канала поступает входящая транзакция. Это позволило атакующему сфальсифицировать депозиты и выпускать токены без реального обеспечения. Поскольку операции не требовали разрешения, хакер запустил в Cosmos собственную цепочку с одним валидатором, из которой пересылал пакеты с фиктивными номиналами активов.
Комитет по чрезвычайным ситуациям Axelar оперативно отключил соединения Secret и Secret-SNIP, чтобы остановить новые несанкционированные переводы. Команда уже координирует действия с биржами и правоохранительными органами для отслеживания средств и их возможного возврата. Важно подчеркнуть: инцидент затронул только монеты saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network не пострадали.
Несмотря на сообщение о краже, цена токена Secret (SCRT) в моменте подскочила почти на 6%, достигнув $0,06. После коррекции актив торгуется в районе $0,058, сохраняя суточный рост около 3%. Капитализация составляет примерно $20 млн. При этом на историческом максимуме в октябре 2021 года SCRT стоил $10,64 — это на 99,5% выше текущих котировок. Такая реакция рынка на взлом выглядит парадоксальной, но может быть связана с ожиданиями компенсаций или временным ажиотажем вокруг новости.
Мой экспертный комментарий: Этот инцидент — очередное напоминание о том, что уязвимости «бесконечного минта» остаются одной из самых опасных угроз для кроссчейн-мостов. Отсутствие проверки источника входящих транзакций в контрактах ICS-20 — это базовая ошибка проектирования, которая могла быть выявлена на этапе аудита. Для инвесторов это сигнал: даже крупные проекты с сильной командой не застрахованы от подобных атак, и диверсификация рисков — не просто рекомендация, а необходимость.