Взлом моста Axelar и Secret Network: атака «бесконечного минта» на $4,67 млн
19 июня блокчейн-инфраструктура Axelar подтвердила факт эксплуатации критической уязвимости в кроссчейн-мосте, соединяющем сеть с протоколом Secret Network. В результате атаки злоумышленник вывел приблизительно $4,67 млн, воспользовавшись багом, известным как «бесконечный минт» (infinite-mint).
Анализ инцидента, проведенный командой основного разработчика Axelar — Common Prefix, показал, что уязвимость находилась в модифицированном смарт-контракте CW20-ICS20 на стороне Secret Network, работающем в рамках IBC-соединения Cosmos. Ключевая ошибка заключалась в отсутствии проверки канала, из которого поступала входящая транзакция. Это позволило атакующему создать новую цепочку Cosmos с одним валидатором и отправлять поддельные пакеты с произвольными номиналами активов, фактически «чеканя» необеспеченные обернутые токены (saToken).
Примечательно, что кража оставалась незамеченной в течение семи дней. Это говорит о недостаточном уровне мониторинга on-chain активности на стороне моста, что является серьезным сигналом для всей экосистемы кроссчейн-решений.
Масштаб и последствия
Комитет по чрезвычайным ситуациям Axelar оперативно отключил соединения Secret и Secret-SNIP, чтобы предотвратить дальнейшие несанкционированные переводы. В настоящее время команда координирует действия с биржами и правоохранительными органами для отслеживания выведенных средств. Подчеркивается, что инцидент затронул исключительно активы saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network остались нетронутыми.
Несмотря на новость о взломе, рынок отреагировал парадоксально: цена токена Secret (SCRT) краткосрочно выросла почти на 6%, достигнув $0,06. После коррекции актив торгуется около $0,058, сохраняя суточный рост примерно в 3%. Капитализация проекта составляет около $20 млн. Для контекста: исторический максимум SCRT в октябре 2021 года составлял $10,64, что на 99,5% выше текущих котировок.
Экспертный комментарий: Данный инцидент — очередное напоминание о том, что безопасность кроссчейн-мостов остается ахиллесовой пятой DeFi. Уязвимость «бесконечного минта» является классической, но ее реализация в IBC-соединении демонстрирует, что даже проверенные временем протоколы могут содержать скрытые логические ошибки. Рынок, игнорирующий фундаментальные риски ради краткосрочной спекулятивной выгоды, как в случае с SCRT, часто оказывается в проигрыше.