Axelar раскрывает эксплойт моста Secret Network: уязвимость «бесконечной эмиссии» обошлась в $4,67 млн
19 июня блокчейн-инфраструктурный проект Axelar официально подтвердил факт взлома своего кроссчейн-моста, соединяющего экосистему с протоколом Secret Network. В результате атаки злоумышленник вывел активы на сумму приблизительно $4,67 млн, воспользовавшись критической уязвимостью, известной как «бесконечный минтинг» (infinite mint).
Инцидент оставался незамеченным в течение семи дней, что подчеркивает сложность мониторинга межсетевых транзакций в современных L0-протоколах. Анализ, проведенный командой Common Prefix — основным разработчиком Axelar, показал, что уязвимость была заложена в модифицированном смарт-контракте CW20-ICS20 на стороне Secret Network, используемом в соединении IBC (Inter-Blockchain Communication) Cosmos.
Механизм атаки и масштаб ущерба
Ключевая проблема заключалась в отсутствии проверки канала-отправителя при обработке входящих транзакций. Алгоритм контракта создавал «обернутые» версии активов (saToken), не верифицируя, из какого именно канала поступил депозит. Это позволило атакующему развернуть собственную кастомную цепочку Cosmos с единственным валидатором и отправлять из неё пакеты с произвольными номиналами активов, по сути, чеканя токены без реального обеспечения.
Эксплойт затронул конкретный пул активов: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Важно отметить, что основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network (SCRT) остались нетронутыми. Комитет по чрезвычайным ситуациям Axelar оперативно отключил соединения Secret и Secret-SNIP, чтобы заблокировать дальнейшие несанкционированные переводы. Сейчас команда координирует действия с биржами и правоохранительными органами для отслеживания и потенциального возврата средств.
Реакция рынка и контекст
Несмотря на серьёзность инцидента, рынок отреагировал парадоксально. Цена токена Secret (SCRT) в моменте подскочила почти на 6%, достигнув отметки $0,06. После коррекции актив торгуется в районе $0,058, сохраняя суточный рост около 3% при капитализации порядка $20 млн. Для контекста: на историческом максимуме в октябре 2021 года SCRT стоил $10,64, что на 99,5% превышает текущие котировки. Этот случай — очередное напоминание о том, что даже в период «медвежьего» рынка хакеры не ослабляют активности, а уязвимости в кроссчейн-инфраструктуре остаются одной из самых горячих точек для атак.
Мой экспертный вывод: данный инцидент вновь поднимает вопрос о необходимости внедрения формальной верификации смарт-контрактов и многоуровневых систем аудита для IBC-соединений. Пока индустрия не стандартизирует проверки каналов и не внедрит механизмы «нулевого доверия» (zero-trust) на уровне мостов, подобные атаки будут повторяться, эксплуатируя базовые логические ошибки в контрактах.