Уязвимость «бесконечного минта» в мосту Axelar обошлась проекту в $4,67 млн — как хакер обманул Secret Network
19 июня кроссчейн-протокол Axelar подтвердил факт взлома моста, связывающего его сеть с платформой конфиденциальности Secret Network. Атакующий вывел цифровые активы на сумму около $4,67 млн, воспользовавшись уязвимостью, известной как «бесконечный минг» (infinite mint bug).
Инцидент оставался незамеченным в течение семи дней — тревожный сигнал для всей экосистемы межсетевых мостов, которые продолжают оставаться одной из самых слабых точек в инфраструктуре DeFi.
Основной разработчик Axelar, команда Common Prefix, провела детальный анализ и установила, что баг был заложен в смарт-контракте ICS-20 на стороне Secret Network, используемом в соединении IBC (Inter-Blockchain Communication) экосистемы Cosmos. Проблема заключалась в том, что контракт, создающий «обернутые» версии активов (saToken), не проверял, из какого канала поступила входящая транзакция. Это позволило злоумышленнику сфальсифицировать депозиты и выпускать токены без реального обеспечения.
Атакующий запустил в Cosmos собственную цепочку с единственным валидатором и через неё пересылал пакеты с фиктивными номиналами активов. Поскольку для таких операций не требовалось разрешения, он смог бесконечно генерировать токены, пока не опустошил пул ликвидности моста.
Комитет по чрезвычайным ситуациям Axelar немедленно отключил соединения Secret и Secret-SNIP, чтобы заблокировать дальнейшие несанкционированные переводы. В настоящее время команда координируется с биржами и правоохранительными органами для отслеживания украденных средств. Важно подчеркнуть, что инцидент затронул только монеты saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network остались нетронутыми.
Рынок отреагировал на новость с удивительным оптимизмом: цена токена Secret (SCRT) на мгновение подскочила почти на 6%, достигнув $0,06. После коррекции актив торгуется около $0,058, что даёт суточный рост около 3%. Капитализация составляет примерно $20 млн. Для контекста: на историческом максимуме в октябре 2021 года SCRT стоил $10,64 — то есть текущие котировки ниже пиковых значений на 99,5%.
Мой анализ: Этот случай — очередное напоминание о том, что кроссчейн-мосты остаются «ахиллесовой пятой» DeFi. Уязвимость «бесконечного минта» — классический, но всё ещё эффективный вектор атаки, который эксплуатирует недостаточную валидацию входящих данных. Команда Axelar действовала оперативно, но сам факт семидневной задержки обнаружения указывает на необходимость более строгих процедур мониторинга. Парадоксальный рост SCRT на фоне взлома, вероятно, связан с тем, что инвесторы восприняли новость как «снятие неопределённости», однако фундаментальные риски для подобных проектов остаются высокими.