Злом мосту Axelar та Secret Network: вразливість «нескінченного карбування» обійшлася у $4,67 млн
19 червня я, як аналітик крипторинку, зафіксував серйозний інцидент в екосистемі кросчейн-взаємодій. Блокчейн-проєкт Axelar розкрив факт злому мосту, що з'єднує його з протоколом Secret Network. Зловмисник, використовуючи вразливість типу «нескінченний мінт», зумів вивести кошти на суму близько $4,67 млн.
Крадіжка залишалася непоміченою протягом семи днів, що вказує на складність і прихованість атаки. Під час аналізу інциденту, проведеного спільно з командою Common Prefix, було встановлено, що баг містився у смарт-контракті ICS-20 на стороні Secret Network в рамках IBC-з'єднання Cosmos. Проблема полягала у відсутності перевірки каналу, з якого надходила вхідна транзакція. Це дозволяло атакуючому створювати «обгорнуті» версії активів (saToken) без реального забезпечення, фальсифікуючи депозити.
Оскільки протокол не вимагав дозволу на такі операції, зловмисник запустив власний ланцюжок Cosmos з одним валідатором. З цього ланцюжка він надсилав пакети з фіктивними номіналами активів, тим самим емітуючи незабезпечені токени. У відповідь на це Комітет з надзвичайних ситуацій Axelar оперативно відключив з'єднання Secret та Secret-SNIP, щоб запобігти подальшим несанкціонованим переказам. Зараз команда координує дії з біржами та правоохоронними органами для відстеження та повернення викрадених коштів.
Важливо підкреслити, що інцидент торкнувся виключно монет saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network залишилися недоторканими. Незважаючи на серйозність ситуації, ринок відреагував неоднозначно: ціна токена Secret (SCRT) миттєво підскочила майже на 6%, досягнувши $0,06, після чого скоригувалася до $0,058, зберігши добове зростання близько 3%. Капіталізація проєкту становить приблизно $20 млн.
Для контексту: на історичному максимумі в жовтні 2021 року SCRT коштував $10,64, що на 99,5% вище поточних котирувань. Цей інцидент нагадує про ризики, пов'язані з застарілими контрактами: раніше в червні хакери двічі атакували L2-мережу Aztec, завдавши збитків у $2,19 млн та $2,15 млн.
Експертна думка: Даний злом — класичний приклад того, як навіть невелика помилка в логіці перевірки каналів може призвести до катастрофічних наслідків. Ринок, однак, демонструє дивовижну стійкість: зростання SCRT на тлі новин про крадіжку свідчить про те, що інвестори поки що не втрачають віри у фундаментальні показники проєкту. Тим не менш, для Axelar та Secret Network це серйозний дзвінок — необхідно переглянути механізми безпеки в IBC-з'єднаннях, щоб уникнути повторення подібних атак у майбутньому.