Уразливість «нескінченного карбування» у мості Axelar коштувала проєкту $4,67 млн — як хакер обдурив Secret Network
19 червня кросчейн-протокол Axelar підтвердив факт злому мосту, що з'єднує його мережу з платформою конфіденційності Secret Network. Атакуючий вивів цифрові активи на суму близько $4,67 млн, скориставшись вразливістю, відомою як «нескінченний мінг» (infinite mint bug).
Інцидент залишався непоміченим протягом семи днів — тривожний сигнал для всієї екосистеми міжмережевих мостів, які продовжують залишатися однією з найслабших точок в інфраструктурі DeFi.
Основний розробник Axelar, команда Common Prefix, провела детальний аналіз і встановила, що баг був закладений у смарт-контракті ICS-20 на стороні Secret Network, який використовується у з'єднанні IBC (Inter-Blockchain Communication) екосистеми Cosmos. Проблема полягала в тому, що контракт, який створює «обгорнуті» версії активів (saToken), не перевіряв, з якого каналу надійшла вхідна транзакція. Це дозволило зловмиснику сфальсифікувати депозити та випускати токени без реального забезпечення.
Атакуючий запустив у Cosmos власний ланцюжок з єдиним валідатором і через нього пересилав пакети з фіктивними номіналами активів. Оскільки для таких операцій не вимагалося дозволу, він зміг нескінченно генерувати токени, поки не спустошив пул ліквідності мосту.
Комітет з надзвичайних ситуацій Axelar негайно відключив з'єднання Secret та Secret-SNIP, щоб заблокувати подальші несанкціоновані перекази. Наразі команда координується з біржами та правоохоронними органами для відстеження вкрадених коштів. Важливо підкреслити, що інцидент торкнувся лише монет saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network залишилися недоторканими.
Ринок відреагував на новину з дивовижним оптимізмом: ціна токена Secret (SCRT) на мить підскочила майже на 6%, досягнувши $0,06. Після корекції актив торгується близько $0,058, що дає добовий ріст близько 3%. Капіталізація становить приблизно $20 млн. Для контексту: на історичному максимумі в жовтні 2021 року SCRT коштував $10,64 — тобто поточні котирування нижчі за пікові значення на 99,5%.
Мій аналіз: Цей випадок — чергове нагадування про те, що кросчейн-мости залишаються «ахіллесовою п'ятою» DeFi. Вразливість «нескінченного мінта» — класичний, але все ще ефективний вектор атаки, який експлуатує недостатню валідацію вхідних даних. Команда Axelar діяла оперативно, але сам факт семиденної затримки виявлення вказує на необхідність більш суворих процедур моніторингу. Парадоксальне зростання SCRT на тлі злому, ймовірно, пов'язане з тим, що інвестори сприйняли новину як «зняття невизначеності», однак фундаментальні ризики для подібних проєктів залишаються високими.