Злом мосту Axelar та Secret Network: вразливість «нескінченного карбування» призвела до втрати $4,67 млн

19 червня блокчейн-проєкт Axelar офіційно підтвердив факт злому кроссчейн-мосту, що з'єднує його мережу з протоколом Secret Network. Зловмиснику вдалося вивести близько $4,67 млн, використовуючи критичну вразливість, відому як «нескінченний мінт» (infinite mint bug).
Деталі атаки
Згідно з аналізом, проведеним командою Common Prefix — основним розробником Axelar, баг було виявлено в модифікованому смарт-контракті ICS-20, що працює на стороні Secret Network у рамках IBC-з'єднання Cosmos. Проблема полягала в тому, що алгоритм, який створює «обгорнуті» версії активів (saToken), не перевіряв, з якого саме каналу надходила вхідна транзакція. Це дозволило атакуючому сфальсифікувати депозити та випускати токени без реального забезпечення.
Оскільки операції в мережі не вимагали дозволу, зловмисник запустив власний ланцюжок Cosmos з одним валідатором. З цього ланцюжка він надсилав пакети з фейковими номіналами активів, що й призвело до крадіжки коштів. Примітно, що інцидент залишався непоміченим протягом семи днів.
Реакція та наслідки
Комітет з надзвичайних ситуацій Axelar негайно відключив з'єднання Secret та Secret-SNIP, щоб зупинити подальші несанкціоновані перекази. Команда проєкту вже координує дії з біржами та правоохоронними органами для відстеження вкрадених коштів та їх можливого повернення.
Важливо підкреслити, що інцидент торкнувся лише конкретних монет: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network залишилися недоторканими.
Ринок та ціна SCRT
Незважаючи на серйозність злому, ринок відреагував несподівано. Ціна токена Secret (SCRT) миттєво підскочила майже на 6%, досягнувши $0,06. Після корекції актив торгується в районі $0,058, зберігаючи добове зростання близько 3%. Капіталізація становить приблизно $20 млн. Для контексту: на історичному максимумі в жовтні 2021 року SCRT коштував $10,64, що на 99,5% вище поточних котирувань.

Експертний коментар
Цей інцидент — чергове нагадування про те, що навіть у зрілих екосистемах, таких як Cosmos IBC, залишаються слабкі місця в реалізації смарт-контрактів. Вразливість «нескінченного мінта» — класична помилка, що виникає через недостатню валідацію вхідних даних. Для інвесторів це сигнал: завжди перевіряйте, які саме активи ви тримаєте в «обгорнутому» вигляді, і наскільки безпечний міст, через який вони пройшли. У цьому випадку оперативність команди Axelar та її відкритість у розслідуванні — позитивний знак, але ринок поки не поспішає панікувати, що може бути пов'язано з відносно невеликою капіталізацією постраждалих активів.