Злом мосту Axelar та Secret Network: вразливість «нескінченного карбування» обійшлася у $4,67 млн

19 червня блокчейн-інфраструктурний проєкт Axelar підтвердив факт експлуатації критичної вразливості в мосту, що з'єднує його мережу з протоколом конфіденційності Secret Network. У результаті атаки зловмиснику вдалося вивести активи на суму близько $4,67 млн. Інцидент залишався непоміченим протягом семи днів, що вказує на складність виявлення подібних атак у кроссчейн-інфраструктурі.
За даними аналізу, проведеного командою Common Prefix — основного розробника Axelar, експлойт було реалізовано через модифікований смарт-контракт ICS-20 на стороні Secret Network, що працює в рамках IBC-з'єднання з Cosmos. Баг полягав у відсутності перевірки каналу, з якого надходила вхідна транзакція. Це дозволило атакуючому сфальсифікувати депозити та запустити процес «нескінченного мінту» — випуску «обгорнутих» версій активів (saToken) без реального забезпечення.
Зловмисник розгорнув у Cosmos власний ланцюжок з одним валідатором, звідки надсилав пакети з фіктивними номіналами. Оскільки операція не вимагала дозволу, це дозволило йому генерувати незабезпечені токени доти, доки вразливість не було виявлено.
Комітет з надзвичайних ситуацій Axelar негайно відключив з'єднання Secret та Secret-SNIP, щоб заблокувати подальші несанкціоновані перекази. Команда вже координує дії з біржами та правоохоронними органами для відстеження вкрадених коштів та їх повернення.
Важливо зазначити, що інцидент торкнувся лише конкретних активів: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network залишилися недоторканими.
Незважаючи на повідомлення про крадіжку, ринок відреагував парадоксально: ціна токена SCRT миттєво підскочила майже на 6%, досягнувши $0,06. Після корекції актив торгується в районі $0,058, зберігаючи добове зростання близько 3%. Капіталізація проєкту становить приблизно $20 млн. Для порівняння: на історичному максимумі в жовтні 2021 року SCRT коштував $10,64, що на 99,5% перевищує поточні котирування.
Експертний коментар
Цей випадок знову підкреслює фундаментальну проблему безпеки кроссчейн-мостів: навіть при використанні стандартизованих протоколів, таких як IBC, недостатня верифікація вхідних даних на стороні приймаючої мережі може призвести до катастрофічних наслідків. Індустрії необхідно впроваджувати більш суворі механізми аудиту смарт-контрактів та багатошарові системи перевірки каналів, щоб запобігти повторенню подібних атак у майбутньому.