Уразливість «нескінченного карбування» у мості Axelar та Secret Network призвела до втрати $4,67 млн
19 червня мною було зафіксовано розкриття інциденту в кросчейн-інфраструктурі Axelar, пов'язаного з мостом до протоколу Secret Network. Атака, заснована на експлуатації вразливості «нескінченного карбування», дозволила зловмиснику вивести приблизно $4,67 млн. Примітно, що крадіжка залишалася непоміченою протягом семи днів, що вказує на глибокий рівень експлуатації.
Під час аналізу, проведеного командою Common Prefix, з'ясувалося, що баг був закладений у смарт-контракті ICS-20 на стороні Secret Network, який працює в екосистемі Cosmos через IBC-з'єднання. Проблема полягала у відсутності перевірки каналу, з якого надходила вхідна транзакція. Це дозволило атакуючому сфальсифікувати депозити та випускати «обгорнуті» версії активів (saToken) без реального забезпечення.
Зловмисник пішов далі: він запустив власний ланцюжок у Cosmos з одним валідатором, звідки надсилав пакети з підробленими номіналами активів. Оскільки операції не вимагали дозволу, процес виявився повністю автоматизованим. Комітет з надзвичайних ситуацій Axelar негайно відключив з'єднання Secret та Secret-SNIP, щоб зупинити подальші несанкціоновані перекази. Зараз команда координує дії з біржами та правоохоронними органами для відстеження та повернення коштів.
Важливо підкреслити, що інцидент торкнувся лише конкретних активів: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network залишилися недоторканими. Це свідчить про цілеспрямований характер атаки, а не про системну вразливість.
Незважаючи на негативні новини, ціна токена Secret (SCRT) продемонструвала короткострокове зростання майже на 6%, досягнувши $0,06. Після корекції актив торгується в районі $0,058, зберігаючи добове зростання близько 3%. Капіталізація становить приблизно $20 млн. Для контексту: на історичному максимумі в жовтні 2021 року SCRT коштував $10,64, що на 99,5% перевищує поточні котирування. Це вказує на довгостроковий тиск на актив, незважаючи на тимчасовий сплеск.
Моя експертна оцінка: Даний інцидент — черговий тривожний сигнал для всієї індустрії кросчейн-мостів. Вразливості типу «нескінченного карбування» продовжують переслідувати проекти, незважаючи на численні попередні атаки. Інвесторам варто ретельніше оцінювати безпеку мостів, особливо тих, що використовують кастомні контракти. Поки команда Axelar оперативно реагує, але довіра до подібних рішень підірвана. Чекаємо подальших кроків щодо посилення аудиту та впровадження механізмів запобігання таким атакам у майбутньому.