Злом мосту Axelar та Secret Network: вразливість «нескінченної емісії» призвела до втрати $4,67 млн

19 червня блокчейн-інфраструктурний проєкт Axelar офіційно підтвердив злам кроссчейн-мосту, що з'єднує його мережу з протоколом Secret Network. Зловмиснику вдалося вивести приблизно $4,67 млн, скориставшись критичною вразливістю, відомою як «нескінченний мінтинг» (infinite mint).
За даними аналітичної команди Common Prefix, яка виступає ключовим розробником Axelar, прогалина була виявлена у смарт-контракті ICS-20, розгорнутому на стороні Secret Network в рамках IBC-з'єднання екосистеми Cosmos. Контракт відповідав за створення «обгорнутих» версій активів (saToken), але не перевіряв канал, з якого надходили вхідні транзакції. Це дозволило атакуючому підробити депозити та випускати токени без реального забезпечення.
Оскільки операції в мережі Secret Network не вимагали дозволу, хакер запустив власний ланцюжок Cosmos з єдиним валідатором. З цього ланцюжка він надсилав пакети з фальшивими номіналами активів, що призвело до неконтрольованої емісії токенів.
Крадіжка залишалася непоміченою протягом семи днів. Комітет з надзвичайних ситуацій Axelar оперативно відключив з'єднання Secret та Secret-SNIP, щоб запобігти подальшим несанкціонованим переказам. Команда проєкту координує дії з криптовалютними біржами та правоохоронними органами для відстеження викрадених коштів та їх повернення.
Інцидент торкнувся лише монет saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network залишилися недоторканими.
Незважаючи на повідомлення про крадіжку, ціна токена Secret (SCRT) у моменті зросла майже на 6%, досягнувши $0,06. Після корекції актив торгується в районі $0,058, зберігаючи добове зростання близько 3%. Капіталізація становить приблизно $20 млн. При цьому історичний максимум SCRT у жовтні 2021 року становив $10,64 — на 99,5% вище поточних котирувань.
Мій аналіз: Цей випадок знову підкреслює системну проблему безпеки кроссчейн-мостів, особливо тих, що використовують кастомні контракти без належного аудиту вхідних каналів. Вразливість «нескінченного мінту» — класична помилка, яку можна було запобігти при більш ретельному тестуванні на етапі розгортання. Цікаво, що ринок відреагував на новину зростанням SCRT, що може вказувати на низьку еластичність попиту або віру спільноти у здатність команди вирішити проблему без довгострокових наслідків для мережі.