Axelar та Secret Network: злом мосту на $4,67 млн — вразливість «нескінченного карбування» викрита

19 червня блокчейн-інфраструктурний проєкт Axelar офіційно підтвердив злом мосту, що з'єднує його мережу з протоколом конфіденційності Secret Network. Атака, яка тривала цілих сім днів, залишалася непоміченою, доки зловмисник не вивів близько $4,67 млн, експлуатуючи критичну вразливість, відому як «нескінченний карбування» (infinite-mint bug).
Деталі атаки: як хакер обійшов захист
Інцидент було проаналізовано командою Common Prefix, основним розробником Axelar. Баг було виявлено в смарт-контракті ICS-20, модифікованій версії CW20-ICS20, що працює на стороні Secret Network у з'єднанні Cosmos IBC. Вразливість полягала в тому, що алгоритм, який створює «обгорнуті» активи (saToken — Secret-wrapped Axelar assets), не перевіряв, з якого каналу надходила вхідна транзакція. Це дозволило атакуючому сфабрикувати депозити та випускати токени без будь-якого реального забезпечення.
Для реалізації атаки хакер запустив в екосистемі Cosmos новий ланцюжок з єдиним валідатором. З цієї підконтрольної мережі він пересилав пакети з підробленими номіналами активів, що фактично дозволило йому «надрукувати» необмежену кількість токенів. Комітет з надзвичайних ситуацій Axelar негайно відключив з'єднання Secret та Secret-SNIP, щоб запобігти подальшим несанкціонованим переказам. Команда координує дії з біржами та правоохоронними органами для відстеження вкрадених коштів та їх повернення.
Наслідки та реакція ринку
Важливо підкреслити, що інцидент торкнувся виключно монет saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network залишилися недоторканими. Тим не менш, вразливість у мостах — це завжди сигнал про ризики для всієї екосистеми.
Незважаючи на шокуючу новину, ринок відреагував несподівано: ціна токена Secret (SCRT) миттєво підскочила майже на 6%, досягнувши $0,06. Після корекції актив торгується в районі $0,058, зберігаючи добове зростання близько 3%. Капіталізація становить приблизно $20 млн. Однак варто зазначити, що від історичного максимуму в жовтні 2021 року ($10,64) SCRT впав на 99,5%, що показує, наскільки глибоким є поточний ведмежий тиск на актив.
Експертний аналіз
Даний інцидент — чергове нагадування про те, що мости залишаються найвразливішою точкою в DeFi-інфраструктурі. Вразливість «нескінченного карбування» — класична, але небезпечна помилка в логіці контрактів, яка виникає, коли розробники не враховують перевірку джерела даних. У даному випадку відсутність валідації каналу введення дозволила хакеру обійти всі захисні механізми. Для інвесторів це сигнал: перед використанням кросчейн-рішень варто ретельно аналізувати аудит смарт-контрактів, особливо тих, що працюють з «обгортками» активів. Ринок, схоже, вже заклав ризики в ціну SCRT, але довгострокова репутація проєкту може постраждати, якщо не будуть вжиті радикальні заходи з посилення безпеки.