Hyökkäys Secret Networkissa
Hyökkäys tapahtui 10. kesäkuuta ja pysyi huomaamatta 17. kesäkuuta</strong asti, jolloin epäonnistunut ristiin ketju -transaktio paljasti ongelman. Secret Network varoitti, että Axelar-sillattuja saTokenseja ei ehkä enää ole täysin tuettu, kun taas Axelar vahvisti, että sen verkko tai IBC-protokolla ei ollut vaarantunut.
Hyökkäyksen yksityiskohdat
Haavoittuvuus Secret Networkin älysopimuksessa johti 4,67 miljoonan dollarin hyökkäykseen, kun hyökkääjä onnistui luomaan tuettuja versioita Axelar-sidotuista varoista ja lunastamaan ne todellisiksi varoiksi, jotka olivat säilytyksessä. Tapahtuma tapahtui 10. kesäkuuta, mutta se pysyi huomaamatta koko viikon ennen kuin se löydettiin 17. kesäkuuta, kun epäonnistunut ristiin ketju -transaktio laukaisi ”riittämättömät varat” -virheen.
Blockchain-tutkimusyrityksen Common Prefix mukaan hyökkäys oli mahdollinen virheen vuoksi mukautetussa token-sopimuksessa, joka ei varmistanut saapuvien siirtojen lähdettä ennen kuin se loi sidottuja varoja.
Tämä mahdollisti hyökkääjän luoda laillisen näköisiä Secret Networkin varoja, tunnettuina saTokenseina, ilman todellista vakuutta. Hyökkääjä käytti hallitsemaansa viestintäkanavaa, jonka avulla hän pystyi väärentämään talletuksia ja luomaan aitoja saTokenseja, jotka näyttivät olevan täysin tuettuja, vaikka niillä ei ollut mitään taustalla olevia varoja.
Varojen siirto ja vaikutukset
Hyökkääjä lunasti sitten nämä petolliset tokenit laillisten Axelar-kanavien kautta, tyhjentäen todelliset varat, jotka olivat säilytyksessä. Vaikuttavien varojen joukossa olivat saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB ja sawstETH. Kun varat oli saatu, ne sillattiin Ethereumiin, muunnettiin Etheriksi (ETH) ja jaettiin noin 30 eri lompakkoon, jotta varojen liikkeitä voitaisiin hämärtää.
Osa varastetuista varoista talletettiin myöhemmin kryptovaluuttapörsseihin, mukaan lukien KuCoin, ChangeNow ja HitBTC. Hyökkäys on yksi suurimmista kryptoturvallisuustapahtumista, jotka on kirjattu tänä kuukautena. DeFiLlama:n tiedot osoittavat, että yli 20 protokollahyökkäystä ja -hyökkäystä on jo tapahtunut.
Vain Humanity Protocolin hyökkäys, joka johti noin 32 miljoonan dollarin tappioihin, ja Syscoin Bridge -hyökkäys, joka aiheutti noin 8 miljoonan dollarin tappiot, olivat suurempia.
Reaktiot ja varoitukset
Löydön jälkeen Secret Network varoitti käyttäjiä, jotka pitivät Axelar-sillattuja saTokenseja, että varat eivät ehkä enää ole täysin tuettuja ja että varat voivat mahdollisesti kadota. Projekti myös selvensi, että sen alkuperäinen SCRT-token ei ollut vaikuttanut hyökkäykseen.
Axelar julkaisi myöhemmin lausunnon, jossa selitettiin, että ei Axelar-verkko eikä Inter-Blockchain Communication (IBC) -protokolla ollut vaarantunut. Tiimin mukaan haavoittuvuus oli olemassa kolmannen osapuolen token-sopimuksessa, jota Axelar ei ollut kehittänyt, käyttöönotettu tai ylläpitänyt.
