Udnyttelse af Secret Network
Udnyttelsen fandt sted den 10. juni og forblev uopdaget indtil den 17. juni, hvor en mislykket cross-chain-transaktion afslørede problemet. Secret Network advarede om, at de berørte Axelar-broede saTokens muligvis ikke længere er fuldt dækket, mens Axelar bekræftede, at hverken deres netværk eller IBC-protokollen var kompromitteret.
Detaljer om udnyttelsen
En sårbarhed i en smart kontrakt på Secret Network førte til en udnyttelse på $4,67 millioner, efter at en angriber med succes havde mintet ubekræftede versioner af Axelar-indpakkede aktiver og indløst dem for ægte aktiver, der blev opbevaret i escrow. Hændelsen fandt sted den 10. juni, men blev ikke opdaget i en hel uge, før den blev opdaget den 17. juni, da en mislykket cross-chain-transaktion udløste en “utilstrækkelige midler”-fejl.
“Ifølge blockchain-forskningsfirmaet Common Prefix blev udnyttelsen muliggjort af en fejl i en tilpasset token-kontrakt, der ikke kunne verificere kilden til indgående overførsler, før den mintede indpakkede aktiver.”
Dette gjorde det muligt for angriberen at skabe legitimt udseende Secret Network-aktiver, kendt som saTokens, uden at give nogen faktisk sikkerhed. Ved at bruge en angriber-kontrolleret kommunikationskanal var udnytteren i stand til at forfalske indskud og mintede ægte saTokens, der så ud til at være fuldt dækket, på trods af at de ikke havde nogen underliggende aktiver, der støttede dem.
Konsekvenser af udnyttelsen
Angriberen indløste derefter disse svigagtige tokens gennem legitime Axelar-kanaler, hvilket drænede de ægte aktiver, der blev opbevaret i escrow. Blandt de berørte aktiver var saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB og saWstETH. Når midlerne var opnået, blev de broet til Ethereum, konverteret til Ether (ETH) og distribueret til cirka 30 forskellige tegnebøger for at forsøge at skjule bevægelsen af midler. Nogle af de stjålne aktiver blev senere indsat i kryptovaluta-børser, herunder KuCoin, ChangeNow og HitBTC.
Reaktioner og fremtidige implikationer
Udnyttelsen er en af de største sikkerhedshændelser inden for kryptovaluta, der er registreret denne måned. Data fra DeFiLlama viser, at der allerede har været mere end 20 protokol-hacks og udnyttelser. Kun Humanity Protocol-udnyttelsen, som resulterede i tab på cirka $32 millioner, og Syscoin Bridge-angrebet, som forårsagede tab på omkring $8 millioner, var større.
Efter opdagelsen advarede Secret Network brugere, der holdt Axelar-broede saTokens, om at aktiverne muligvis ikke længere er fuldt dækket, og at midler potentielt kunne gå tabt. Projektet præciserede også, at dets native SCRT-token ikke var påvirket af udnyttelsen. Axelar udsendte senere en erklæring, der forklarede, at hverken Axelar-netværket eller Inter-Blockchain Communication (IBC) protokollen var blevet kompromitteret. Ifølge teamet eksisterede sårbarheden i en tredjeparts token-kontrakt, der ikke var udviklet, implementeret eller vedligeholdt af Axelar.
