Kryptoutnyttelse på Secret Network
Utnyttelsen skjedde 10. juni og forble uoppdaget til 17. juni, da en mislykket tverrkjede-transaksjon avdekket problemet. Secret Network advarte om at berørte Axelar-broede saTokens kanskje ikke lenger er fullt støttet, mens Axelar bekreftet at verken deres nettverk eller IBC-protokollen var kompromittert.
Detaljer om utnyttelsen
En sårbarhet i en smart kontrakt på Secret Network førte til en utnyttelse på 4,67 millioner dollar etter at en angriper med suksess mintet usikrede versjoner av Axelar-innpakkede eiendeler og innløste dem for ekte eiendeler holdt i escrow. Hendelsen skjedde 10. juni, men ble ikke oppdaget på en hel uke før den ble avdekket 17. juni, da en mislykket tverrkjede-transaksjon utløste en «utilstrekkelige midler»-feil.
«Ifølge blockchain-forskningsfirmaet Common Prefix ble utnyttelsen muliggjort av en feil i en tilpasset token-kontrakt som ikke klarte å verifisere kilden til innkommende overføringer før minting av innpakkede eiendeler.»
Dette tillot angriperen å lage legitime utseende Secret Network-eiendeler, kjent som saTokens, uten å gi noen faktisk sikkerhet. Ved å bruke en angriper-kontrollert kommunikasjonskanal klarte utnytteren å forfalske innskudd og mintet ekte saTokens som så ut til å være fullt støttet, til tross for at de ikke hadde underliggende eiendeler som støttet dem.
Konsekvenser av utnyttelsen
Angriperen innløste deretter disse svindel-tokenene gjennom legitime Axelar-kanaler og tappet de ekte eiendelene som ble holdt i escrow. Blant de berørte eiendelene var saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB og saWstETH. Når midlene var oppnådd, ble de broet til Ethereum, konvertert til Ether (ETH) og distribuert til omtrent 30 forskjellige lommebøker for å prøve å skjule bevegelsen av midler.
Noen av de stjålne eiendelene ble senere innskutt i kryptovaluta-børser, inkludert KuCoin, ChangeNow og HitBTC. Utnyttelsen er en av de største kryptosikkerhetshendelsene registrert denne måneden. Data fra DeFiLlama viser at mer enn 20 protokoll-hack og utnyttelser allerede har skjedd. Bare Humanity Protocol-utnyttelsen, som resulterte i tap på omtrent 32 millioner dollar, og Syscoin Bridge-angrepet, som forårsaket tap på rundt 8 millioner dollar, var større.
Advarsler og uttalelser
Etter oppdagelsen advarte Secret Network brukere som holder Axelar-broede saTokens om at eiendelene kanskje ikke lenger er fullt støttet og at midler potensielt kan gå tapt. Prosjektet klargjorde også at deres native SCRT-token ikke ble påvirket av utnyttelsen.
«Axelar ga senere en uttalelse som forklarte at verken Axelar-nettverket eller Inter-Blockchain Communication (IBC) protokollen hadde blitt kompromittert. Ifølge teamet eksisterte sårbarheten i en tredjeparts token-kontrakt som ikke ble utviklet, distribuert eller vedlikeholdt av Axelar.»
