Secret Network потеряла $4,7 млн из-за уязвимости 'infinite mint' в мосте

Приватная блокчейн-сеть Secret Network столкнулась с эксплойтом на $4,67 млн из-за ошибки «infinite mint» в смарт-контракте моста. Атака произошла 10 июня, но была выявлена только 17 июня после неудачной кроссчейн-транзакции, вызванной ошибкой «недостаточно средств» на опустошённом аккаунте.

По данным компании Common Prefix, злоумышленник использовал уязвимость, позволяющую выпускать необеспеченные обёрнутые версии активов Axelar (saTokens). Смарт-контракт не проверял источник входящего перевода перед выпуском, поэтому сгенерированные на подконтрольном хакеру канале токены не были подкреплены реальными активами. Через легитимные каналы они были обменены на настоящие активы из эскроу.

Украденные активы включали saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Хакер переместил добычу в Ethereum, конвертировал в ETH, разделил на около 30 кошельков и внёс на биржи KuCoin, ChangeNow и HitBTC.

Secret Network предупредила держателей Axelar-bridged saXXX-токенов, что их обеспечение затронуто и средства могут быть потеряны. При этом нативный токен Secret (SCRT) не пострадал, хотя его курс находится на 99% ниже исторического максимума (около $0,058). Токен Axelar (AXL) также снизился на 98% от пика 2024 года, торгуясь около $0,045.

Платформа Axelar подтвердила, что ни она, ни протокол IBC не были скомпрометированы. Уязвимый смарт-контракт не был разработан, развёрнут или поддерживался Axelar, а межсетевой экран предотвратил распространение атаки на другие блокчейны.

Этот случай стал одним из крупнейших взломов в серии кибератак на протоколы DeFi в июне, которая, по данным DeFiLlama, насчитывает не менее 22 инцидентов. Масштабнее оказались только взломы Humanity Protocol ($32 млн) и Syscoin Bridge ($8 млн).