Експлойт мосту Axelar та Secret Network: атака «нескінченного карбування» на $4,67 млн

19 червня блокчейн-інфраструктурний проєкт Axelar офіційно підтвердив злам кроссчейн-мосту, що з'єднує його мережу з протоколом Secret Network. У результаті атаки зловмисник вивів приблизно $4,67 млн, скориставшись вразливістю типу «нескінченний мінг» (infinite mint).
Технічні деталі експлойту
Мій аналіз показує, що інцидент залишався непоміченим протягом семи днів. Згідно з даними провідного розробника Axelar — Common Prefix, прогалина була виявлена в смарт-контракті ICS-20, модифікованому для Secret Network у рамках IBC-з'єднання з екосистемою Cosmos. Контракт, відповідальний за створення «обгорнутих» активів (saToken), не перевіряв канал походження вхідних транзакцій. Це дозволило атакуючому підробити депозити та емітувати незабезпечені токени.
Оскільки операції в протоколі не вимагали дозволу, зловмисник запустив новий ланцюжок Cosmos з єдиним валідатором. Через нього він надсилав пакети з фіктивними номіналами активів, фактично «надрукувавши» токени з повітря.
Масштаб та реакція
Комітет з надзвичайних ситуацій Axelar оперативно відключив усі з'єднання з Secret Network та Secret-SNIP, щоб запобігти подальшим несанкціонованим переказам. Команда вже координує дії з біржами та правоохоронними органами для відстеження коштів. Важливо підкреслити, що інцидент торкнувся лише монет saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network залишилися недоторканими.
Ринок реагує парадоксально
Незважаючи на повідомлення про крадіжку, ціна нативного токена Secret (SCRT) у момент підскочила майже на 6%, досягнувши $0,06. Після корекції актив торгується близько $0,058, зберігаючи добове зростання приблизно на 3%. Капіталізація становить близько $20 млн. При цьому з історичного максимуму в жовтні 2021 року на рівні $10,64 SCRT обвалився на 99,5%.

Цей випадок нагадує про системні ризики, які несуть застарілі або погано протестовані смарт-контракти в кроссчейн-мостах. Раніше в червні хакери двічі атакували застарілі контракти в L2-мережі Aztec, завдавши збитків на $2,19 млн та $2,15 млн відповідно.
Моя експертна оцінка: Даний інцидент — чергова ланка в ланцюзі атак на мостові рішення, які залишаються найвразливішою точкою в DeFi-інфраструктурі. Відсутність перевірки каналу вхідних транзакцій — груба, але класична помилка. Інвесторам слід уважніше ставитися до проєктів, де обгорнуті активи емітуються без жорсткої верифікації. Поки команда Axelar не надасть повний аудит та план виправлень, довіра до мосту залишатиметься під питанням.