Міст Axelar та Secret Network зламано: хакер вивів $4,67 млн через вразливість "нескінченного карбування"
19 червня команда блокчейн-проекту Axelar офіційно підтвердила злам кроссчейн-мосту, що з'єднує їхню мережу з протоколом Secret Network. Інцидент призвів до втрати приблизно $4,67 млн, які були виведені зловмисником з використанням критичної вразливості, відомої як «нескінченний мінт».
Аналіз, проведений командою розробників, показав, що вразливість була закладена в смарт-контракті ICS-20 на стороні Secret Network, що працює в рамках IBC-з'єднання Cosmos. Проблема полягала в тому, що алгоритм створення «обгорнутих» версій активів (saToken) не перевіряв, з якого саме каналу надходить вхідна транзакція. Це дозволило атакуючому сфабрикувати депозити та емітувати токени без жодного реального забезпечення.
Процес експлуатації був технічно витонченим, але простим у реалізації: зловмисник запустив власний ланцюжок Cosmos з одним валідатором, через який надсилав пакети з фіктивними номіналами. Примітно, що крадіжка залишалася непоміченою протягом семи днів. Комітет з надзвичайних ситуацій Axelar оперативно відключив з'єднання Secret та Secret-SNIP, щоб запобігти подальшому несанкціонованому виведенню коштів. Наразі команда координує дії з біржами та правоохоронними органами для відстеження та можливого повернення викрадених активів.
Інцидент торкнувся виключно токенів saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network не постраждали.
Ринкова реакція виявилася несподівано позитивною для нативного токена Secret Network (SCRT). Незважаючи на новину про злам, ціна SCRT підскочила майже на 6%, досягнувши $0,06. Після невеликої корекції актив торгується в районі $0,058, зберігаючи добове зростання близько 3%. Капіталізація проекту становить приблизно $20 млн.
Для контексту: на історичному максимумі в жовтні 2021 року SCRT коштував $10,64, що на 99,5% перевищує поточні котирування. Цей злам, хоч і значний за сумою, очевидно, був сприйнятий ринком як локальна проблема конкретного мосту, а не як фундаментальний удар по проекту Secret Network.
Експертний коментар: Подібні атаки на мости з використанням вразливостей «нескінченного мінту» вже стали класичним прикладом ризиків, пов'язаних з кроссчейн-взаємодіями. Відсутність перевірки каналу вхідної транзакції — це груба, але поширена помилка в контрактах, які намагаються спростити процес обгортання активів. Інвесторам варто уважніше ставитися до проектів, де механізми верифікації не є багаторівневими та не включають аудит з боку незалежних експертів. Поточне зростання SCRT може бути короткостроковим пампом на новинах, і фундаментальні ризики для ліквідності пулів залишаються високими.