Мост Axelar и Secret Network взломан: хакер вывел $4,67 млн через уязвимость “бесконечного минта”
19 июня команда блокчейн-проекта Axelar официально подтвердила взлом кроссчейн-моста, соединяющего их сеть с протоколом Secret Network. Инцидент привел к потере приблизительно $4,67 млн, которые были выведены злоумышленником с использованием критической уязвимости, известной как «бесконечный минт».
Анализ, проведенный командой разработчиков, показал, что уязвимость была заложена в смарт-контракте ICS-20 на стороне Secret Network, работающем в рамках IBC-соединения Cosmos. Проблема заключалась в том, что алгоритм создания «обернутых» версий активов (saToken) не проверял, из какого именно канала поступает входящая транзакция. Это позволило атакующему сфабриковать депозиты и эмитировать токены без какого-либо реального обеспечения.
Процесс эксплуатации был технически изощренным, но простым в реализации: злоумышленник запустил собственную цепочку Cosmos с одним валидатором, через которую отправлял пакеты с фиктивными номиналами. Примечательно, что кража оставалась незамеченной в течение семи дней. Комитет по чрезвычайным ситуациям Axelar оперативно отключил соединения Secret и Secret-SNIP, чтобы предотвратить дальнейший несанкционированный вывод средств. В настоящее время команда координирует действия с биржами и правоохранительными органами для отслеживания и возможного возврата похищенных активов.
Инцидент затронул исключительно токены saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network не пострадали.
Рыночная реакция оказалась неожиданно позитивной для нативного токена Secret Network (SCRT). Несмотря на новость о взломе, цена SCRT подскочила почти на 6%, достигнув $0,06. После небольшой коррекции актив торгуется в районе $0,058, сохраняя суточный рост около 3%. Капитализация проекта составляет примерно $20 млн.
Для контекста: на историческом максимуме в октябре 2021 года SCRT стоил $10,64, что на 99,5% превышает текущие котировки. Этот взлом, хоть и значительный по сумме, по-видимому, был воспринят рынком как локальная проблема конкретного моста, а не как фундаментальный удар по проекту Secret Network.
Экспертный комментарий: Подобные атаки на мосты с использованием уязвимостей «бесконечного минта» уже стали классическим примером рисков, связанных с кроссчейн-взаимодействиями. Отсутствие проверки канала входящей транзакции — это грубая, но распространенная ошибка в контрактах, которые пытаются упростить процесс обертывания активов. Инвесторам стоит внимательнее относиться к проектам, где механизмы верификации не являются многоуровневыми и не включают аудит со стороны независимых экспертов. Текущий рост SCRT может быть краткосрочным пампом на новостях, и фундаментальные риски для ликвидности пулов остаются высокими.