Взлом моста Axelar и Secret Network: уязвимость «бесконечного минта» привела к потере $4,67 млн

19 июня команда Axelar официально подтвердила взлом кроссчейн-моста, соединяющего экосистему Axelar с протоколом Secret Network. Злоумышленнику удалось вывести средства на сумму около $4,67 млн, используя критическую уязвимость, известную как «бесконечный минт». Примечательно, что атака оставалась незамеченной на протяжении семи дней, что указывает на недостаточную мониторинговую инфраструктуру на стороне Secret Network.
Как установил основной разработчик Axelar — компания Common Prefix, баг был заложен в смарт-контракте ICS-20, модифицированном для работы с токенами Secret Network. Этот контракт, развернутый на Cosmos IBC-соединении, отвечал за создание «обернутых» версий активов (saToken). Ключевая ошибка заключалась в отсутствии проверки канала, из которого поступала входящая транзакция. Это позволило атакующему сфальсифицировать депозиты и эмитировать токены без какого-либо реального обеспечения.
Для реализации атаки злоумышленник запустил собственную цепочку в экосистеме Cosmos с единственным валидатором. Из этой цепочки он отправлял пакеты с фиктивными номиналами активов, которые контракт ICS-20 принимал за легитимные. Таким образом, хакер получил возможность чеканить неограниченное количество токенов, не внося реальных средств.
Комитет по чрезвычайным ситуациям Axelar оперативно отключил соединения Secret и Secret-SNIP, чтобы остановить дальнейшие несанкционированные переводы. Команда проекта уже координирует действия с биржами и правоохранительными органами для отслеживания похищенных средств и их возможного возврата. Важно подчеркнуть, что инцидент затронул исключительно токены saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network не пострадали.
Несмотря на сообщение о краже, рынок отреагировал неоднозначно. Цена токена Secret (SCRT) в моменте подскочила почти на 6%, достигнув отметки $0,06. После коррекции актив торгуется в районе $0,058, сохраняя суточный рост около 3%. Капитализация проекта составляет примерно $20 млн. Для контекста: на историческом максимуме в октябре 2021 года SCRT стоил $10,64, что на 99,5% превышает текущие котировки. Это падение демонстрирует, насколько сильно рынок уже дисконтировал риски, связанные с проектом.
Мнение эксперта. Этот инцидент — очередное напоминание о том, что кроссчейн-мосты остаются одной из самых уязвимых точек в DeFi-инфраструктуре. Ошибка в проверке канала — это банальный, но разрушительный баг, который мог быть выявлен на этапе аудита. Рынок, тем не менее, проявил удивительную устойчивость: рост SCRT после новости указывает на то, что инвесторы, возможно, воспринимают эту атаку как изолированную проблему, а не системный сбой. Однако доверие к мостам такого типа будет восстановлено не скоро, особенно учитывая, что уязвимость оставалась незамеченной целую неделю.