Axelar және Secret Network көпірінің бұзылуы: «шексіз шығару» осалдығы $4,67 млн шығынға әкелді

19 маусымда блокчейн-инфрақұрылымдық жоба Axelar өз желісін құпиялық протоколы Secret Network-пен байланыстыратын көпірдегі сыни осалдықтың пайдаланылғанын растады. Шабуыл нәтижесінде зиянкес шамамен $4,67 млн сомасындағы активтерді шығарып үлгерді. Оқиға жеті күн бойы байқалмай қалды, бұл кроссчейн-инфрақұрылымдағы мұндай шабуылдарды анықтаудың күрделілігін көрсетеді.
Axelar-дың негізгі әзірлеушісі Common Prefix командасы жүргізген талдау деректері бойынша, эксплойт Secret Network жағындағы Cosmos-пен IBC-байланысы аясында жұмыс істейтін модификацияланған ICS-20 смарт-келісімшарты арқылы жүзеге асырылды. Кемшілік кіріс транзакциясы келіп түскен арнаны тексерудің болмауында еді. Бұл шабуылдаушыға жалған депозиттерді жасауға және нақты қамтамасыз етусіз активтердің «оралған» нұсқаларын (saToken) шығару процесін — «шексіз минтті» іске қосуға мүмкіндік берді.
Зиянкес Cosmos-та бір валидаторы бар өз тізбегін орнатып, одан жалған номиналдары бар пакеттерді жіберді. Операция рұқсатты талап етпегендіктен, бұл оған осалдық анықталғанға дейін қамтамасыз етілмеген токендерді генерациялауға мүмкіндік берді.
Axelar-дың төтенше жағдайлар комитеті одан әрі рұқсатсыз аударымдарды бұғаттау үшін Secret және Secret-SNIP қосылымдарын дереу ажыратты. Команда ұрланған қаражатты қадағалау және қайтару үшін биржалармен және құқық қорғау органдарымен әрекеттерді үйлестіруде.
Айта кету керек, оқиға тек нақты активтерге әсер етті: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB және sawstETH. Axelar-дың негізгі протоколы, басқа IBC-қосылымдары және Secret Network-тің нативті активтері қол тимеген күйінде қалды.
Ұрлық туралы хабарламаға қарамастан, нарық парадоксальды түрде жауап берді: SCRT токенінің бағасы сәтте $0,06-ға жетіп, 6%-ға жуық өсті. Түзетуден кейін актив $0,058 маңайында саудаланып, тәуліктік өсімді шамамен 3% сақтап тұр. Жобаның капитализациясы шамамен $20 млн құрайды. Салыстыру үшін: 2021 жылғы қазандағы тарихи максимумда SCRT $10,64 тұрды, бұл ағымдағы баға белгілеулерден 99,5% жоғары.
Сарапшылық пікір
Бұл жағдай кроссчейн-көпірлерінің қауіпсіздігінің іргелі мәселесін тағы да атап көрсетеді: тіпті IBC сияқты стандартталған протоколдарды қолданған кезде де, қабылдаушы желі жағындағы кіріс деректердің жеткіліксіз тексерілуі апатты салдарға әкелуі мүмкін. Индустрия болашақта осындай шабуылдардың қайталануын болдырмау үшін смарт-келісімшарттарды аудиттеудің қатаң тетіктерін және арналарды тексерудің көпқабатты жүйелерін енгізуі қажет.