Axelar и Secret Network: взлом моста на $4,67 млн — уязвимость «бесконечного минта» раскрыта

19 июня блокчейн-инфраструктурный проект Axelar официально подтвердил взлом моста, соединяющего его сеть с протоколом конфиденциальности Secret Network. Атака, длившаяся целых семь дней, оставалась незамеченной, пока злоумышленник не вывел около $4,67 млн, эксплуатируя критическую уязвимость, известную как «бесконечный минт» (infinite-mint bug).
Детали атаки: как хакер обошел защиту
Инцидент был проанализирован командой Common Prefix, основным разработчиком Axelar. Баг был обнаружен в смарт-контракте ICS-20, модифицированной версии CW20-ICS20, работающей на стороне Secret Network в соединении Cosmos IBC. Уязвимость заключалась в том, что алгоритм, создающий «обернутые» активы (saToken — Secret-wrapped Axelar assets), не проверял, из какого канала поступала входящая транзакция. Это позволило атакующему сфабриковать депозиты и выпускать токены без какого-либо реального обеспечения.
Для реализации атаки хакер запустил в экосистеме Cosmos новую цепочку с единственным валидатором. Из этой подконтрольной сети он пересылал пакеты с поддельными номиналами активов, что фактически позволило ему «напечатать» неограниченное количество токенов. Комитет по чрезвычайным ситуациям Axelar немедленно отключил соединения Secret и Secret-SNIP, чтобы предотвратить дальнейшие несанкционированные переводы. Команда координирует действия с биржами и правоохранительными органами для отслеживания украденных средств и их возврата.
Последствия и реакция рынка
Важно подчеркнуть, что инцидент затронул исключительно монеты saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network остались нетронутыми. Тем не менее, уязвимость в мостах — это всегда сигнал о рисках для всей экосистемы.
Несмотря на шокирующую новость, рынок отреагировал неожиданно: цена токена Secret (SCRT) в моменте подскочила почти на 6%, достигнув $0,06. После коррекции актив торгуется в районе $0,058, сохраняя суточный рост около 3%. Капитализация составляет примерно $20 млн. Однако стоит отметить, что от исторического максимума в октябре 2021 года ($10,64) SCRT упал на 99,5%, что показывает, насколько глубоко текущее медвежье давление на актив.
Экспертный анализ
Данный инцидент — очередное напоминание о том, что мосты остаются самой уязвимой точкой в DeFi-инфраструктуре. Уязвимость «бесконечного минта» — классическая, но опасная ошибка в логике контрактов, которая возникает, когда разработчики не учитывают проверку источника данных. В данном случае, отсутствие валидации канала ввода позволило хакеру обойти все защитные механизмы. Для инвесторов это сигнал: перед использованием кроссчейн-решений стоит тщательно анализировать аудит смарт-контрактов, особенно тех, что работают с «обертками» активов. Рынок, похоже, уже заложил риски в цену SCRT, но долгосрочная репутация проекта может пострадать, если не будут приняты радикальные меры по усилению безопасности.