Кросчейн-міст Axelar зламано на $4,67 млн: експлойт «нескінченної емісії» залишався непоміченим тиждень
19 червня блокчейн-інфраструктура Axelar підтвердила факт злому свого мосту, що з'єднує екосистему Cosmos із протоколом Secret Network. Атакуючий зумів вивести близько $4,67 млн, скориставшись критичною вразливістю у смарт-контракті ICS-20 на стороні Secret.
Інцидент, за даними внутрішнього аналізу команди Axelar, став можливим через баг «нескінченного карбування» (infinite-mint bug). Контракт, відповідальний за створення «обгорнутих» версій активів (saTokens), не верифікував джерело вхідних транзакцій — тобто не перевіряв, з якого саме IBC-каналу надходить запит. Це дозволило зловмиснику сфальсифікувати депозити.
Для реалізації атаки хакер розгорнув власний ланцюжок у мережі Cosmos з одним валідатором. Через цей ланцюжок він пересилав пакети з фіктивними номіналами активів, після чого контракт на Secret Network беззастережно генерував відповідну кількість обгорнутих токенів. Примітно, що крадіжка залишалася непоміченою протягом семи днів — лише через тиждень команда Axelar зафіксувала аномалію.
Екстрений комітет Axelar негайно відключив з'єднання Secret та Secret-SNIP, щоб запобігти подальшим несанкціонованим переказам. Наразі команда координує дії з біржами та правоохоронними органами для відстеження та можливого повернення викрадених коштів.
Важливо підкреслити: інцидент торкнувся виключно обгорнутих активів — saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network (SCRT) не постраждали.
Незважаючи на тривожні новини, ринок відреагував парадоксально: ціна SCRT миттєво підскочила майже на 6%, досягнувши $0,06. Після корекції актив торгується близько $0,058, зберігаючи добове зростання приблизно на 3%. Капіталізація становить близько $20 млн. Однак варто нагадати, що на історичному максимумі в жовтні 2021 року SCRT коштував $10,64 — поточні котирування нижчі на 99,5%.
Цей випадок — чергове нагадування про те, що навіть у зрілих екосистемах із формально перевіреними контрактами залишаються приховані вразливості. Відсутність валідації джерела вхідних транзакцій у IBC-з'єднаннях — фундаментальна помилка, яка може бути відтворена в інших мостах. Настійно рекомендую командам проєктів провести аудит своїх ICS-контрактів на предмет аналогічних багів.