Злоумышленник воспользовался критической уязвимостью в мосте Secret Network, похитив $4,7 миллиона через механизм «бесконечного минта» (infinite mint). Атака оставалась незамеченной в течение целой недели, пока хакер выводил украденные средства в сеть Ethereum
ETH$1,734.44+0.19% и на централизованные биржи.
Как хакер сгенерировал $4,7 млн из воздуха
Уязвимость была обнаружена в кроссчейн-мосте Secret Network — инструменте, который позволяет перемещать активы между разными блокчейнами. Эксплойт типа «infinite mint» дал хакеру возможность генерировать неограниченное количество токенов без реального обеспечения на другой стороне моста.
Это уже вторая крупная атака на кросс-чейн мосты за последнюю неделю: ранее протокол Aztec пострадал от эксплойта на $2,1 млн.
Вот ключевые детали атаки:
- Злоумышленник использовал ошибку в логике смарт-контракта, отвечающего за выпуск обёрнутых токенов (wrapped assets) на целевой сети.
- Механизм проверки депозитов не смог корректно обработать поддельные доказательства транзакций, что позволило хакеру многократно вызывать функцию выпуска.
- Всего за несколько операций злоумышленник начеканил токенов на сумму $4,7 млн и сразу конвертировал их в Ethereum.
Эксплойт оставался незамеченным семь дней — хакер успел перевести средства через Ethereum на криптобиржи, где их отслеживание значительно усложняется.
После перемещения активов в Ethereum злоумышленник воспользовался несколькими децентрализованными и централизованными площадками для обмена похищенных токенов. Команда Secret Network подтвердила факт атаки и начала расследование, однако большая часть средств уже покинула экосистему проекта.
Почему кроссчейн-мосты остаются главной мишенью хакеров
Атаки на кроссчейн-мосты стали одной из главных угроз для индустрии DeFi в 2022-2023 годах. Механизмы межсетевого взаимодействия остаются уязвимым звеном: по данным аналитиков, за последние два года через эксплойты мостов было украдено более $2 миллиардов.
Инцидент вновь поднимает вопрос о том, что стандартные аудиты безопасности не могут предотвратить сложные эксплойты.
Случай с Secret Network примечателен тем, что уязвимость «бесконечного минта» считается классической ошибкой проектирования смарт-контрактов. Она возникает, когда контракт доверяет внешним данным без их достаточной верификации — в данном случае валидации доказательств транзакций из другой сети.
Этот инцидент напоминает об атаке на мост Wormhole в феврале 2022 года, где хакер также использовал ошибку в логике верификации и похитил $326 млн.
Для пользователей Secret Network и других проектов на базе Cosmos
ATOM$1.80+1.17% SDK эксплойт означает необходимость переоценки рисков при использовании межсетевых мостов. Команда проекта пока не объявила о планах компенсации пострадавших пользователей — расследование продолжается.
Разработчикам Secret Network предстоит не только закрыть уязвимость, но и восстановить доверие сообщества. Вопрос о возврате средств остаётся открытым: хакер успел обменять украденные токены на Ethereum и вывести их с децентрализованных площадок, что делает возврат маловероятным без вмешательства правоохранительных органов. Сможет ли команда проекта вернуть хотя бы часть активов и предотвратить повторение подобных атак — пока неясно.