Вразливість «нескінченного карбування»: злом мосту Axelar та Secret Network на $4,67 млн

19 червня блокчейн-проєкт Axelar офіційно підтвердив факт злому кроссчейн-мосту, що з'єднує його інфраструктуру з протоколом Secret Network. Зловмиснику вдалося вивести кошти на суму близько $4,67 млн, скориставшись критичною вразливістю, відомою як «нескінченний мінг» (infinite mint).
Аналіз інциденту, проведений командою Common Prefix — основним розробником Axelar, показав, що прогалину було виявлено в смарт-контракті ICS-20 на стороні Secret Network у рамках IBC-з'єднання екосистеми Cosmos. Цей контракт відповідав за створення «обгорнутих» версій активів (saToken), але не перевіряв, з якого саме каналу надходила вхідна транзакція. Подібна помилка дозволила атакуючому сфальсифікувати депозити та випускати токени без будь-якого реального забезпечення.
Крадіжка залишалася непоміченою протягом семи днів. За цей час хакер запустив власний ланцюжок у Cosmos з єдиним валідатором, з якого надсилав пакети з підробленими номіналами активів, використовуючи відсутність дозволів на операції.
Комітет з надзвичайних ситуацій Axelar негайно відключив з'єднання Secret та Secret-SNIP, щоб запобігти подальшим несанкціонованим переказам. Наразі команда координує дії з біржами та правоохоронними органами для відстеження викрадених коштів та їх можливого повернення. Важливо зазначити, що інцидент торкнувся виключно монет saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network залишилися недоторканими.
Незважаючи на настільки серйозний інцидент, ринок відреагував неоднозначно. Ціна токена Secret (SCRT) у момент підскочила майже на 6%, досягнувши позначки $0,06. Після корекції актив торгується в районі $0,058, зберігаючи добове зростання близько 3%. Капіталізація проєкту становить приблизно $20 млн. На історичному максимумі в жовтні 2021 року SCRT коштував $10,64 — поточні котирування нижчі на 99,5%.
Коментар експерта: Цей злом — класичний приклад того, як навіть у зрілих екосистемах, таких як Cosmos, банальні помилки в логіці смарт-контрактів можуть призводити до мільйонних втрат. Відсутність перевірки каналу вхідної транзакції — це баг, який мав бути виявлений на етапі аудиту. Для спільноти це черговий сигнал про те, що безпека кроссчейн-мостів залишається однією з найуразливіших точок у DeFi, і інвесторам варто враховувати ці ризики при оцінці активів.