Взлом моста Axelar и Secret Network: уязвимость «бесконечного минта» обошлась в $4,67 млн
19 июня блокчейн-проект Axelar раскрыл серьезный инцидент безопасности, связанный с мостом, соединяющим его сеть с протоколом Secret Network. Злоумышленник использовал критическую уязвимость, известную как «бесконечный минт», и вывел около $4,67 млн. Примечательно, что кража оставалась незамеченной на протяжении семи дней — это говорит о сложности отслеживания аномалий в кроссчейн-инфраструктуре.
Анализ, проведенный командой Common Prefix, основным разработчиком Axelar, показал, что баг был заложен в смарт-контракте ICS-20 на стороне Secret Network, работающем в рамках IBC-соединения Cosmos. Контракт отвечал за создание «обернутых» версий активов (saToken), но не проверял, из какого канала поступала входящая транзакция. Это позволило атакующему сфальсифицировать депозиты и выпускать токены без реального обеспечения.
Поскольку операции не требовали разрешения, хакер запустил в Cosmos собственную цепочку с одним валидатором, из которой пересылал пакеты с фиктивными номиналами активов. В результате были скомпрометированы монеты saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Комитет по чрезвычайным ситуациям Axelar оперативно отключил соединения Secret и Secret-SNIP, чтобы остановить новые несанкционированные переводы. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network не пострадали.
Мы проанализировали инцидент с Secret Network. Атакующий использовал баг бесконечного минта в модифицированном контракте токенов CW20-ICS20 на Secret, чтобы вывести ≈$4,67 млн. Злоумышленник начеканил произвольные Secret-обернутые активы Axelar на Secret, запустив новую цепочку Cosmos с 1 валидатором и…
— Common Prefix (@CommonPrefix)
Команда Axelar координирует действия с биржами и правоохранительными органами для отслеживания средств и содействия их возврату.
Несмотря на сообщение о краже, цена токена Secret (SCRT) в моменте подскочила почти на 6%, достигнув $0,06. После коррекции актив торгуется в районе $0,058, сохраняя суточный рост около 3%. Капитализация составляет ~$20 млн. При этом на историческом максимуме в октябре 2021 года SCRT стоил $10,64, что на 99,5% превышает текущие котировки.
Мой комментарий: Этот инцидент — классический пример того, как даже в зрелых экосистемах, таких как Cosmos IBC, могут возникать фатальные уязвимости из-за недостаточной валидации входящих данных. Уязвимость «бесконечного минта» — одна из самых опасных для кроссчейн-мостов, так как она позволяет создавать активы из воздуха. Я ожидаю, что после этого случая команды проектов усилят аудит смарт-контрактов, особенно в части проверки каналов и депозитов. Рынок, в свою очередь, пока не паникует — рост SCRT говорит о том, что инвесторы верят в способность команды справиться с последствиями. Однако подобные инциденты напоминают, что безопасность в DeFi — это не разовая задача, а непрерывный процесс.