Взлом моста Axelar и Secret Network: уязвимость «бесконечного минта» обошлась в $4,67 млн
19 июня я, как аналитик крипторынка, зафиксировал серьезный инцидент в экосистеме кроссчейн-взаимодействий. Блокчейн-проект Axelar раскрыл факт взлома моста, соединяющего его с протоколом Secret Network. Злоумышленник, используя уязвимость типа «бесконечный минт», сумел вывести средства на сумму около $4,67 млн.
Кража оставалась незамеченной в течение семи дней, что указывает на сложность и скрытность атаки. В ходе анализа инцидента, проведенного совместно с командой Common Prefix, было установлено, что баг содержался в смарт-контракте ICS-20 на стороне Secret Network в рамках IBC-соединения Cosmos. Проблема заключалась в отсутствии проверки канала, из которого поступала входящая транзакция. Это позволяло атакующему создавать «обернутые» версии активов (saToken) без реального обеспечения, фальсифицируя депозиты.
Поскольку протокол не требовал разрешения на такие операции, злоумышленник запустил собственную цепочку Cosmos с одним валидатором. Из этой цепочки он отправлял пакеты с фиктивными номиналами активов, тем самым эмитируя необеспеченные токены. В ответ на это Комитет по чрезвычайным ситуациям Axelar оперативно отключил соединения Secret и Secret-SNIP, чтобы предотвратить дальнейшие несанкционированные переводы. Сейчас команда координирует действия с биржами и правоохранительными органами для отслеживания и возврата похищенных средств.
Важно подчеркнуть, что инцидент затронул исключительно монеты saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network остались нетронутыми. Несмотря на серьезность ситуации, рынок отреагировал неоднозначно: цена токена Secret (SCRT) в моменте подскочила почти на 6%, достигнув $0,06, после чего скорректировалась до $0,058, сохранив суточный рост около 3%. Капитализация проекта составляет примерно $20 млн.
Для контекста: на историческом максимуме в октябре 2021 года SCRT стоил $10,64, что на 99,5% выше текущих котировок. Этот инцидент напоминает о рисках, связанных с устаревшими контрактами: ранее в июне хакеры дважды атаковали L2-сеть Aztec, нанеся ущерб в $2,19 млн и $2,15 млн.
Экспертное мнение: Данный взлом — классический пример того, как даже небольшая ошибка в логике проверки каналов может привести к катастрофическим последствиям. Рынок, однако, демонстрирует удивительную устойчивость: рост SCRT на фоне новостей о краже говорит о том, что инвесторы пока не теряют веру в фундаментальные показатели проекта. Тем не менее, для Axelar и Secret Network это серьезный звонок — необходимо пересмотреть механизмы безопасности в IBC-соединениях, чтобы избежать повторения подобных атак в будущем.