Взлом моста Axelar и Secret Network: уязвимость «бесконечного минта» привела к потере $4,67 млн
19 июня блокчейн-проект Axelar официально подтвердил факт взлома своего моста, соединяющего с протоколом Secret Network. В результате атаки злоумышленник вывел средства на сумму около $4,67 млн, воспользовавшись критической уязвимостью, известной как «бесконечный минг» (infinite mint bug). Примечательно, что кража оставалась незамеченной на протяжении семи дней, что свидетельствует о сложности и скрытности атаки.
Технические детали инцидента
Согласно анализу, проведенному командой основного разработчика Axelar — Common Prefix, уязвимость была обнаружена в смарт-контракте ICS-20, работающем на стороне Secret Network в рамках Cosmos IBC-соединения. В штатном режиме этот контракт создает «обернутые» версии активов (saToken), однако он не проверял, из какого именно канала поступала входящая транзакция. Это позволило атакующему сфальсифицировать депозиты и выпускать токены без какого-либо реального обеспечения.
Злоумышленник действовал хитро: не требуя разрешения, он запустил в экосистеме Cosmos собственную цепочку с одним валидатором. Из этой цепочки он пересылал IBC-пакеты с поддельными номиналами активов, что позволило ему намайнить необеспеченные токены на стороне Secret Network.
Реакция и масштаб ущерба
После обнаружения инцидента Комитет по чрезвычайным ситуациям Axelar немедленно отключил соединения Secret и Secret-SNIP, чтобы остановить дальнейшие несанкционированные переводы. В настоящее время команда координирует свои действия с биржами и правоохранительными органами для отслеживания похищенных средств и содействия их возврату.
Важно подчеркнуть, что атака затронула только ограниченный круг монет: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения, а также нативные активы Secret Network остались нетронутыми. Это говорит о том, что уязвимость была локализована в конкретном контракте, а не в инфраструктуре в целом.
Реакция рынка и контекст
Несмотря на столь серьезное событие, рынок отреагировал неоднозначно. Цена токена Secret (SCRT) в моменте подскочила почти на 6%, достигнув отметки $0,06. После коррекции актив торгуется в районе $0,058, сохраняя суточный рост около 3%. Капитализация составляет примерно $20 млн. Для сравнения: на историческом максимуме в октябре 2021 года SCRT стоил $10,64, что на 99,5% выше текущих котировок.
Этот инцидент напоминает о том, что даже в зрелых экосистемах, таких как Cosmos, кроссчейн-мосты остаются одной из самых уязвимых точек инфраструктуры. Уязвимость «бесконечного минта» — классический пример того, как недостаточная валидация входящих данных может привести к катастрофическим последствиям.
Мое экспертное мнение: Данная атака — еще одно подтверждение того, что безопасность смарт-контрактов в мостах требует тотального аудита и формальной верификации. Пока команда Axelar действовала оперативно, сам факт семидневной задержки в обнаружении кражи вызывает вопросы к мониторингу on-chain активностей. Инвесторам стоит учитывать, что подобные инциденты, хотя и не затрагивают основные протоколы, подрывают доверие к кроссчейн-решениям и могут оказывать долгосрочное давление на цены токенов.