Кроссчейн-мост Axelar взломан на $4,67 млн: эксплойт «бесконечной эмиссии» оставался незамеченным неделю
19 июня блокчейн-инфраструктура Axelar подтвердила факт взлома своего моста, соединяющего экосистему Cosmos с протоколом Secret Network. Атакующий сумел вывести порядка $4,67 млн, воспользовавшись критической уязвимостью в смарт-контракте ICS-20 на стороне Secret.
Инцидент, по данным внутреннего анализа команды Axelar, стал возможен из-за бага «бесконечного минта» (infinite-mint bug). Контракт, отвечающий за создание «обернутых» версий активов (saTokens), не верифицировал источник входящих транзакций — то есть не проверял, из какого именно IBC-канала поступает запрос. Это позволило злоумышленнику сфальсифицировать депозиты.
Для реализации атаки хакер развернул собственную цепочку в сети Cosmos с одним валидатором. Через эту цепочку он пересылал пакеты с фиктивными номиналами активов, после чего контракт на Secret Network безоговорочно генерировал соответствующее количество обернутых токенов. Примечательно, что кража оставалась незамеченной на протяжении семи дней — лишь спустя неделю команда Axelar зафиксировала аномалию.
Экстренный комитет Axelar немедленно отключил соединения Secret и Secret-SNIP, чтобы предотвратить дальнейшие несанкционированные переводы. В настоящее время команда координирует действия с биржами и правоохранительными органами для отслеживания и возможного возврата похищенных средств.
Важно подчеркнуть: инцидент затронул исключительно обернутые активы — saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network (SCRT) не пострадали.
Несмотря на тревожные новости, рынок отреагировал парадоксально: цена SCRT в моменте подскочила почти на 6%, достигнув $0,06. После коррекции актив торгуется около $0,058, сохраняя суточный рост примерно 3%. Капитализация составляет порядка $20 млн. Однако стоит напомнить, что на историческом максимуме в октябре 2021 года SCRT стоил $10,64 — текущие котировки ниже на 99,5%.
Этот случай — очередное напоминание о том, что даже в зрелых экосистемах с формально проверенными контрактами остаются скрытые уязвимости. Отсутствие валидации источника входящих транзакций в IBC-соединениях — фундаментальная ошибка, которая может быть воспроизведена в других мостах. Настоятельно рекомендую командам проектов провести аудит своих ICS-контрактов на предмет аналогичных багов.