Axelar постраждав від експлойту мосту з Secret Network: збиток $4,67 млн через помилку «нескінченної емісії»

19 червня команда блокчейн-проєкту Axelar підтвердила факт злому кросчейн-моста, що з'єднує їхній протокол із Secret Network. Атакуючий зумів вивести приблизно $4,67 млн, скориставшись уразливістю, відомою як «нескінченний мінтинг» (infinite mint bug). Ця атака залишалася непоміченою протягом семи днів — значного терміну для подібних інцидентів, що свідчить про високий рівень витонченості зловмисника.
Технічні деталі та вектор атаки
Як встановили фахівці команди Common Prefix, провідного розробника Axelar, корінь проблеми полягав у модифікованому смарт-контракті ICS-20 на стороні Secret Network, що використовується в IBC-з'єднанні екосистеми Cosmos. Контракт, відповідальний за створення «обгорнутих» версій активів (saToken), просто не перевіряв, з якого саме каналу надходила вхідна транзакція. Ця прогалина дозволила атакуючому сфабрикувати депозити та емітувати токени без будь-якого реального забезпечення. Операція не вимагала дозволу — хакер запустив у Cosmos власний ланцюжок з одним валідатором, з якого надсилав пакети з підробленими номіналами активів.
Реагування та масштаб інциденту
Реагуючи на загрозу, Комітет з надзвичайних ситуацій Axelar негайно відключив з'єднання Secret та Secret-SNIP, щоб заблокувати подальші несанкціоновані перекази. Наразі команда координує дії з біржами та правоохоронними органами для відстеження викрадених коштів та сприяння їхньому поверненню. Важливо підкреслити, що інцидент торкнувся виключно монет saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network не постраждали.
Реакція ринку
Незважаючи на таку гучну подію, ціна нативного токена Secret Network (SCRT) продемонструвала несподівану волатильність. У моменті котирування підскочили майже на 6%, досягнувши позначки $0,06. Після корекції актив торгується в районі $0,058, зберігаючи добове зростання близько 3%. Ринкова капіталізація SCRT становить приблизно $20 млн. Для контексту: історичний максимум був зафіксований у жовтні 2021 року на рівні $10,64, що майже на 99,5% вище поточних значень.
Коментар експерта: Цей інцидент знову підкреслює критичну важливість аудиту смарт-контрактів у кросчейн-рішеннях. Уразливість «нескінченного мінтингу» — класична, але, як бачимо, досі ефективна проблема для мостів. Той факт, що атака залишалася непоміченою тиждень, вказує на необхідність впровадження більш досконалих систем моніторингу ончейн-активності. Інвесторам варто пам'ятати: поки мости залишаються найуразливішою точкою DeFi, ризики втрати коштів зберігаються навіть для, здавалося б, добре захищених протоколів.