Эксплойт моста Axelar и Secret Network: Хакер украл $4,67 млн через «бесконечную эмиссию»
19 июня блокчейн-инфраструктура Axelar подтвердила серьезный инцидент безопасности, связанный с мостом, соединяющим сеть с протоколом Secret Network. В результате атаки злоумышленник смог вывести цифровые активы на сумму около $4,67 миллиона. Как показал мой анализ, взлом был основан на классической, но опасной уязвимости, известной как «бесконечный минг» (infinite mint).
Согласно результатам расследования, проведенного основной командой разработчиков Axelar — Common Prefix, уязвимость была обнаружена в модифицированном смарт-контракте CW20-ICS20, который отвечает за обработку токенов на стороне Secret Network в рамках IBC-соединения с Cosmos. Критическая ошибка заключалась в том, что контракт не проверял, из какого именно канала поступает входящая транзакция. Алгоритм создавал «обернутые» версии активов (saToken), но не верифицировал легитимность источника депозита.
Это позволило атакующему сфабриковать депозиты и начать выпуск токенов, не имеющих реального обеспечения. Поскольку операции в сети Cosmos не требуют разрешения, хакер запустил собственную сайдчейн с одним валидатором, из которой и пересылал фальшивые пакеты с произвольными номиналами активов. Примечательно, что кража оставалась незамеченной на протяжении целых семи дней, что говорит о недостатках в системах мониторинга.
После обнаружения инцидента Комитет по чрезвычайным ситуациям Axelar оперативно отключил соединения Secret и Secret-SNIP, чтобы предотвратить дальнейшие несанкционированные переводы. В настоящее время команда координирует усилия с биржами и правоохранительными органами для отслеживания похищенных средств и их возможного возврата.
Важно подчеркнуть, что атака затронула строго ограниченный перечень токенов: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network (SCRT) остались нетронутыми. Несмотря на новости о взломе, рынок отреагировал парадоксально: цена токена Secret (SCRT) кратковременно подскочила почти на 6%, достигнув $0,06. После коррекции актив торгуется около $0,058, сохраняя суточный рост около 3%. Капитализация проекта составляет примерно $20 миллионов.
Для контекста: на историческом максимуме в октябре 2021 года SCRT стоил $10,64, что на 99,5% превышает текущие котировки. Этот инцидент напоминает недавние атаки на устаревшие контракты в L2-сети Aztec, где ущерб от двух взломов в июне составил $2,19 млн и $2,15 млн соответственно.
Мой экспертный комментарий: Данный случай — очередное суровое напоминание о том, что безопасность кроссчейн-мостов остается «ахиллесовой пятой» всей индустрии. Уязвимость «бесконечного минта» в модифицированных контрактах — это не новая технология, а банальная ошибка в логике проверки входящих данных. Тот факт, что атака оставалась незамеченной неделю, поднимает серьезные вопросы о качестве аудита и процедурах мониторинга в экосистеме. Инвесторам следует крайне осторожно относиться к активам, прошедшим через мосты, особенно в периоды волатильности, и помнить, что даже уважаемые протоколы не застрахованы от подобных инцидентов.