Злом мосту Axelar та Secret Network: вразливість «нескінченного карбування» призвела до втрати $4,67 млн

19 червня блокчейн-проєкт Axelar офіційно підтвердив факт злому кросчейн-мосту, що з'єднує його з протоколом Secret Network. Зловмисник зумів вивести активи на суму приблизно $4,67 млн, скориставшись критичною вразливістю, відомою як «нескінченний мінг» (infinite mint).
Як показав аналіз, проведений командою Common Prefix, баг було виявлено в смарт-контракті ICS-20, розгорнутому на стороні Secret Network у рамках з'єднання Cosmos IBC. Цей контракт відповідав за створення «обгорнутих» версій активів (saToken), однак не перевіряв канал, з якого надходила вхідна транзакція. Це дозволило атакуючому підробляти депозити та емітувати токени без реального забезпечення.
Зловмисник запустив власний ланцюжок Cosmos з одним валідатором, з якого надсилав пакети з фейковими номіналами активів. Операції не вимагали дозволу, що зробило атаку простою у виконанні. Крадіжка залишалася непоміченою протягом семи днів.
Комітет з надзвичайних ситуацій Axelar негайно відключив з'єднання Secret та Secret-SNIP, щоб запобігти новим несанкціонованим переказам. Команда координує дії з біржами та правоохоронними органами для відстеження коштів та їх можливого повернення.
Інцидент торкнувся лише монет saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network не постраждали.
Незважаючи на новину про крадіжку, ціна токена Secret (SCRT) у момент підскочила майже на 6%, досягнувши $0,06. Після корекції актив торгується в районі $0,058, зберігаючи добове зростання близько 3%. Капіталізація становить приблизно $20 млн. При цьому історичний максимум SCRT у жовтні 2021 року становив $10,64, що на 99,5% вище поточних котирувань.
Коментар експерта: Атака на міст Axelar — чергове нагадування про те, що навіть у зрілих екосистемах, таких як Cosmos, можуть залишатися критичні баги в смарт-контрактах. Вразливість типу «нескінченний мінг» — класична помилка, яку розробники повинні виявляти на етапі аудиту. Той факт, що крадіжка залишалася непоміченою тиждень, вказує на недостатній моніторинг on-chain активності. Інвесторам варто звернути увагу на проєкти, які впроваджують автоматизовані системи виявлення аномалій.