В пятницу команда Axelar сообщила о взломе мостовой инфраструктуры, связанной с протоколом Secret Network. В результате атаки злоумышленнику удалось вывести активы на сумму около 4,67 миллиона долларов США, воспользовавшись уязвимостью, позволявшей неограниченно выпускать токены.
Примечательно, что инцидент оставался незамеченным в течение недели.
Согласно отчету компании Common Prefix, являющейся ключевым разработчиком Axelar, проблема была обнаружена в смарт-контракте ICS-20 на стороне Secret Network в рамках соединения Cosmos IBC. Механизм создания обернутых активов (saToken) не проверял источник входящих транзакций, что открыло возможность для подделки депозитов и выпуска необеспеченных токенов.
Поскольку эксплуатация уязвимости не требовала специальных разрешений, атакующий развернул собственную цепочку Cosmos с единственным валидатором и начал отправлять пакеты с фиктивными номиналами активов, имитируя реальные переводы.
Для предотвращения дальнейших потерь экстренный комитет Axelar временно отключил соединения Secret и Secret-SNIP. Параллельно команда взаимодействует с криптобиржами и правоохранительными органами, пытаясь отследить похищенные средства и содействовать их возврату.
Разработчики подчеркнули, что проблема затронула только активы saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Работа основного протокола Axelar, других IBC-каналов и нативных активов Secret Network нарушена не была.
Несмотря на новости о взломе, токен SCRT от Secret Network краткосрочно вырос почти на 6%, достигнув отметки 0,06 доллара США. Позже цена скорректировалась до примерно 0,058 доллара США, однако актив сохранил около 3% роста за сутки. Рыночная капитализация проекта оценивается примерно в 20 миллионов долларов США.