Злом мосту Axelar та Secret Network: хакер викрав $4,67 млн через нескінченну емісію

19 червня блокчейн-проєкт Axelar розкрив злам свого кроссчейн-мосту з протоколом Secret Network. Зловмисник вивів близько $4,67 млн, використовуючи вразливість типу «нескінченний мінг» (infinite mint bug). Інцидент залишався непоміченим протягом семи днів.
Як відбулася атака
Під час експертного аналізу, проведеного командою Common Prefix — основним розробником Axelar, баг було виявлено в смарт-контракті ICS-20, розгорнутому на стороні Secret Network у рамках IBC-з'єднання Cosmos. Цей контракт відповідав за створення «обгорнутих» версій активів (saToken), але не перевіряв, з якого саме каналу надходила вхідна транзакція. Це дозволило атакуючому сфальсифікувати депозити та емітувати токени без реального забезпечення.
Оскільки операції не вимагали дозволу, зловмисник запустив у мережі Cosmos власний ланцюжок з одним валідатором, з якого пересилав пакети з фіктивними номіналами активів. Таким чином, він зміг випустити незабезпечені версії saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH.
Реакція та наслідки
Комітет з надзвичайних ситуацій Axelar негайно відключив з'єднання Secret та Secret-SNIP, щоб зупинити нові несанкціоновані перекази. Команда активно координує дії з біржами та правоохоронними органами для відстеження коштів та сприяння їх поверненню. Важливо підкреслити: основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network не постраждали.
Ринок та реакція токена SCRT
Незважаючи на повідомлення про крадіжку, ціна нативного токена Secret Network (SCRT) у момент підскочила майже на 6%, досягнувши позначки $0,06. Після невеликої корекції актив торгується в районі $0,058, зберігаючи добове зростання близько 3%. Поточна ринкова капіталізація становить приблизно $20 млн. Для порівняння: на історичному максимумі в жовтні 2021 року SCRT коштував $10,64, що на 99,5% перевищує поточні котирування. Це свідчить про те, що ринок сприйняв новину як локальний інцидент, який не загрожує фундаментальній цінності проєкту.
Моя експертиза: Даний злам — класичний приклад вразливості в логіці смарт-контрактів, пов'язаної з недостатньою валідацією міжмережевих повідомлень. Незважаючи на оперативне реагування, інцидент підкреслює критичну необхідність аудиту всіх IBC-з'єднань та контрактів, особливо тих, що відповідають за емісію активів. Поки ринок зберігає спокій, довгострокова репутація кроссчейн-інфраструктури вимагає фундаментального посилення заходів безпеки.