Взлом моста Axelar и Secret Network: уязвимость «бесконечного минта» обошлась в $4,67 млн

19 июня команда Axelar официально подтвердила факт эксплуатации критической уязвимости в кроссчейн-мосте, связывающем их протокол с Secret Network. Злоумышленник воспользовался багом «бесконечного минта» (infinite mint), что позволило ему вывести цифровые активы на сумму порядка $4,67 млн. Примечательно, что кража оставалась незамеченной в течение семи дней — это указывает на недостаточный мониторинг on-chain активности со стороны операторов моста.
Технические детали атаки
Согласно анализу, проведенному основным разработчиком Axelar — Common Prefix, уязвимость была заложена в смарт-контракте ICS-20 на стороне Secret Network в рамках IBC-соединения Cosmos. Контракт отвечал за создание «обернутых» версий активов (saToken), но не проверял, из какого именно канала поступала входящая транзакция. Это позволило атакующему сфальсифицировать депозиты и эмитировать токены без какого-либо реального обеспечения.
Поскольку операции не требовали разрешения, хакер развернул собственную цепочку в экосистеме Cosmos с одним валидатором, откуда отправлял пакеты с поддельными номиналами активов. Таким образом, он создал иллюзию легитимных переводов, хотя на самом деле просто «печатал» токены из воздуха.
Реакция и масштаб инцидента
Комитет по чрезвычайным ситуациям Axelar оперативно отключил соединения Secret и Secret-SNIP, чтобы остановить дальнейшие несанкционированные переводы. Команда координирует действия с биржами и правоохранительными органами для отслеживания средств и содействия их возврату. Согласно официальному заявлению, инцидент затронул исключительно монеты saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network остались нетронутыми.
Рынок не паникует
Несмотря на серьезность инцидента, рынок отреагировал неожиданно спокойно. Цена токена Secret (SCRT) в моменте подскочила почти на 6%, достигнув $0,06. После коррекции актив торгуется в районе $0,058, сохраняя суточный рост около 3%. Капитализация составляет ~$20 млн. Однако стоит отметить, что на историческом максимуме в октябре 2021 года SCRT стоил $10,64, что на 99,5% превышает текущие котировки. Это говорит о том, что рынок уже давно заложил риски в цену актива, и новость о взломе не стала шоком.

Экспертное мнение
Этот инцидент вновь подчеркивает системную уязвимость кроссчейн-мостов, построенных на модифицированных контрактах без должного аудита безопасности. Баг «бесконечного минта» — классическая ошибка, которая должна была быть выявлена на этапе тестирования. Для инвесторов это очередной сигнал о том, что активы, заблокированные в мостах, несут повышенный риск, и диверсификация по разным протоколам — не просто стратегия, а необходимость.