Axelar және Secret Network көпірінің бұзылуы: «Шексіз шығару» осалдығы $4,67 млн шығынға әкелді

19 маусымда Axelar блокчейн-хаттамасы Secret Network желісімен байланыстыратын кроссчейн көпірінің бұзылғанын ресми түрде растады. Шабуылдаушы «шексіз минт» (infinite mint) деп аталатын сыни осалдықты пайдаланып, шамамен $4,67 млн шығарып алды. Ұрлық жеті күн бойы байқалмай қалды — бұл желіаралық транзакцияларды бақылаудағы кемшіліктер туралы маңызды сигнал.
Common Prefix әзірлеушілер тобы жүргізген талдауға сәйкес, баг IBC-қосылымы арқылы Cosmos экожүйесінде жұмыс істейтін Secret Network жағындағы ICS-20 смарт-контрактынан табылды. Мәселе активтердің «оралған» нұсқаларын (saToken) жасайтын алгоритмнің кіріс транзакциясының қай арнадан келгенін тексермеуінде болды. Бұл шабуылдаушыға депозиттерді бұрмалауға және нақты қамтамасыз етусіз токендер шығаруға мүмкіндік берді.
Шабуылды жүзеге асыру үшін зиянкес Cosmos-та бір валидаторы бар өз тізбегін іске қосты, сол жерден активтердің жалған номиналдары бар пакеттерді жіберді. Операциялар рұқсатты қажет етпегендіктен, көпір бұл жалған деректерді қабылдап, қамтамасыз етілмеген saToken жасады.
Axelar төтенше жағдайлар комитеті одан әрі рұқсатсыз аударымдарды тоқтату үшін Secret және Secret-SNIP қосылымдарын жедел түрде өшірді. Команда ұрланған қаражатты қадағалау үшін биржалар мен құқық қорғау органдарымен іс-қимылдарды үйлестіруде. Атап өту маңызды: оқиға тек saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB және sawstETH монеталарына әсер етті. Axelar негізгі хаттамасы, басқа IBC-қосылымдар және Secret Network-тің жергілікті активтері қол тимеген күйінде қалды.
Осындай маңызды оқиғаға қарамастан, нарық парадоксальды түрде жауап берді. Secret (SCRT) токенінің бағасы сәтте $0,06-ға жетіп, шамамен 6%-ға көтерілді. Түзетуден кейін актив $0,058 шамасында саудаланып, тәуліктік өсімді шамамен 3% сақтап тұр. Капитализация шамамен $20 млн құрайды. Еске сала кетейін, 2021 жылдың қазанындағы тарихи максимумда SCRT $10,64 тұрды — қазіргі баға белгілері 99,5%-ға төмен. Бұл қысқа мерзімді спекулятивтік көңіл-күйдің іргелі тәуекелдерді елемеуінің классикалық мысалы.
Осы оқиға аясында маусым айында хакерлер Aztec L2-желісіндегі ескірген контрактілерге екі рет шабуыл жасап, тиісінше $2,19 млн және $2,15 млн ұрлағанын еске салған жөн. Нарық желіаралық көпірлердің осалдықтары басты нысанаға айналатын кезеңге еніп жатыр — және бұл барлық жобалардан қауіпсіздік архитектурасын қайта қарауды талап етеді.
Сарапшылық пікір: Axelar-дың бұзылуы — кездейсоқтық емес, заңдылық. «Шексіз минт» осалдығы — бұл деректерді беру арнасына деген сенім контракт деңгейінде тексерілмейтін көпірлерге тән классикалық мәселе. Командалар транзакция көзін міндетті түрде тексеруді және көп деңгейлі аудит механизмдерін енгізбейінше, мұндай оқиғалар қайталана береді. Инвесторлар көпірлермен байланысты токендерге мұқият қарауы керек — олардың өтімділігі жалған болуы мүмкін.