Axelar көпіріндегі «шексіз минт» осалдығы жобаға $4,67 млн шығын әкелді — хакер Secret Network-ті қалай алдады
19 маусымда кроссчейн-протокол Axelar өз желісін Secret Network құпиялылық платформасымен байланыстыратын көпірдің бұзылғанын растады. Шабуылдаушы «шексіз минг» (infinite mint bug) деп аталатын осалдықты пайдаланып, шамамен $4,67 млн сомасындағы цифрлық активтерді шығарып әкетті.
Бұл оқиға жеті күн бойы байқалмай қалды — бұл DeFi инфрақұрылымындағы ең әлсіз нүктелердің бірі болып қала беретін желіаралық көпірлердің бүкіл экожүйесі үшін дабыл сигналы.
Axelar-дың негізгі әзірлеушісі, Common Prefix командасы, егжей-тегжейлі талдау жүргізіп, қате Cosmos экожүйесінің IBC (Inter-Blockchain Communication) қосылымында қолданылатын Secret Network жағындағы ICS-20 смарт-келісімшартына енгізілгенін анықтады. Мәселе активтердің «оралған» нұсқаларын (saToken) жасайтын келісімшарттың кіріс транзакциясы қай арнадан келгенін тексермеуінде болды. Бұл зиянкеске депозиттерді бұрмалауға және нақты қамтамасыз етусіз токендерді шығаруға мүмкіндік берді.
Шабуылдаушы Cosmos-та жалғыз валидаторы бар өз тізбегін іске қосып, ол арқылы активтердің жалған номиналдары бар пакеттерді жіберді. Мұндай операцияларға рұқсат қажет болмағандықтан, ол көпірдің өтімділік пулын босатқанша токендерді шексіз генерациялай алды.
Axelar-дың төтенше жағдайлар комитеті одан әрі рұқсатсыз аударымдарды бұғаттау үшін Secret және Secret-SNIP қосылымдарын дереу ажыратты. Қазіргі уақытта команда ұрланған қаражатты қадағалау үшін биржалармен және құқық қорғау органдарымен үйлестіру жұмыстарын жүргізуде. Оқиға тек saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB және sawstETH монеталарына әсер еткенін атап өту маңызды. Axelar-дың негізгі протоколы, басқа IBC қосылымдары және Secret Network-тің нативті активтері қол тимеген күйінде қалды.
Нарық жаңалыққа таңғаларлық оптимизммен жауап берді: Secret (SCRT) токенінің бағасы бір сәтте $0,06-ға жетіп, 6%-ға жуық өсті. Түзетуден кейін актив шамамен $0,058 деңгейінде саудаланып, тәуліктік өсім шамамен 3% құрайды. Капитализация шамамен $20 млн құрайды. Контекст үшін: 2021 жылғы қазандағы тарихи максимумда SCRT $10,64 тұрды — яғни ағымдағы баға белгілері шыңдық мәндерден 99,5% төмен.
Менің талдауым: Бұл жағдай кроссчейн көпірлерінің DeFi-дің «Ахиллес өкшесі» болып қала беретінін тағы бір рет еске салады. «Шексіз минг» осалдығы — классикалық, бірақ әлі де тиімді шабуыл векторы, ол кіріс деректерінің жеткіліксіз тексерілуін пайдаланады. Axelar командасы жедел әрекет етті, бірақ анықтаудың жеті күндік кешігуінің өзі қатаң бақылау процедураларының қажеттілігін көрсетеді. Бұзылу аясында SCRT-тің парадоксальды өсуі, ең алдымен, инвесторлардың жаңалықты «белгісіздіктің жойылуы» ретінде қабылдауына байланысты, алайда мұндай жобалар үшін іргелі тәуекелдер жоғары болып қала береді.