Злом мосту Axelar та Secret Network: вразливість «нескінченного карбування» призвела до втрати $4,67 млн
19 червня блокчейн-проєкт Axelar офіційно підтвердив факт злому свого мосту, що з'єднує з протоколом Secret Network. У результаті атаки зловмисник вивів кошти на суму близько $4,67 млн, скориставшись критичною вразливістю, відомою як «нескінченний мінг» (infinite mint bug). Примітно, що крадіжка залишалася непоміченою протягом семи днів, що свідчить про складність і прихованість атаки.
Технічні деталі інциденту
Згідно з аналізом, проведеним командою основного розробника Axelar — Common Prefix, вразливість було виявлено в смарт-контракті ICS-20, що працює на стороні Secret Network у рамках Cosmos IBC-з'єднання. У штатному режимі цей контракт створює «обгорнуті» версії активів (saToken), однак він не перевіряв, з якого саме каналу надходила вхідна транзакція. Це дозволило атакуючому сфальсифікувати депозити та випускати токени без будь-якого реального забезпечення.
Зловмисник діяв хитро: не вимагаючи дозволу, він запустив в екосистемі Cosmos власний ланцюжок з одним валідатором. З цього ланцюжка він пересилав IBC-пакети з підробленими номіналами активів, що дозволило йому намайнити незабезпечені токени на стороні Secret Network.
Реакція та масштаб збитків
Після виявлення інциденту Комітет з надзвичайних ситуацій Axelar негайно відключив з'єднання Secret та Secret-SNIP, щоб зупинити подальші несанкціоновані перекази. Наразі команда координує свої дії з біржами та правоохоронними органами для відстеження викрадених коштів і сприяння їх поверненню.
Важливо підкреслити, що атака торкнулася лише обмеженого кола монет: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання, а також нативні активи Secret Network залишилися недоторканими. Це свідчить про те, що вразливість була локалізована в конкретному контракті, а не в інфраструктурі загалом.
Реакція ринку та контекст
Незважаючи на таку серйозну подію, ринок відреагував неоднозначно. Ціна токена Secret (SCRT) в момент підскочила майже на 6%, досягнувши позначки $0,06. Після корекції актив торгується в районі $0,058, зберігаючи добове зростання близько 3%. Капіталізація становить приблизно $20 млн. Для порівняння: на історичному максимумі в жовтні 2021 року SCRT коштував $10,64, що на 99,5% вище поточних котирувань.
Цей інцидент нагадує про те, що навіть у зрілих екосистемах, таких як Cosmos, кросчейн-мости залишаються однією з найуразливіших точок інфраструктури. Вразливість «нескінченного мінгу» — класичний приклад того, як недостатня валідація вхідних даних може призвести до катастрофічних наслідків.
Моя експертна думка: Ця атака — ще одне підтвердження того, що безпека смарт-контрактів у мостах вимагає тотального аудиту та формальної верифікації. Хоча команда Axelar діяла оперативно, сам факт семиденної затримки у виявленні крадіжки викликає питання до моніторингу on-chain активностей. Інвесторам варто враховувати, що подібні інциденти, хоча й не зачіпають основні протоколи, підривають довіру до кросчейн-рішень і можуть чинити довгостроковий тиск на ціни токенів.