脆弱性の発生と影響
この脆弱性は2023年6月10日に発生し、6月17日まで検出されませんでした。失敗したクロスチェーン取引が問題を明らかにしました。Secret Networkは、影響を受けたAxelarブリッジのsaTokensが完全に裏付けられていない可能性があると警告しましたが、AxelarはそのネットワークやIBCプロトコルが侵害されていないことを確認しました。
攻撃の詳細
Secret Networkのスマートコントラクトの脆弱性により、攻撃者がAxelarラップ資産の裏付けのないバージョンを成功裏にミントし、エスクローに保管されている実際の資産と引き換えにした結果、467万ドルの損失が発生しました。この事件は6月10日に発生しましたが、6月17日に失敗したクロスチェーン取引が「資金不足」のエラーを引き起こすまで、1週間の間検出されませんでした。
ブロックチェーンリサーチ会社Common Prefixによると、この脆弱性は、ラップ資産をミントする前に入金の出所を確認しなかったカスタムトークン契約の欠陥によって可能になりました。
これにより、攻撃者は実際の担保を提供することなく、saTokensとして知られるSecret Networkの資産を合法的に見える形で作成することができました。攻撃者は制御する通信チャネルを使用して偽の入金を作成し、裏付けのないsaTokensをミントすることができました。攻撃者はその後、これらの不正なトークンを正当なAxelarチャネルを通じて引き換え、エスクローに保管されていた実際の資産を引き出しました。
影響を受けた資産と資金の動き
影響を受けた資産には、saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB、saWstETHが含まれていました。資金が取得されると、それらはEthereumにブリッジされ、Ether(ETH)に変換され、約30の異なるウォレットに分配されて資金の動きを隠そうとしました。一部の盗まれた資産は後に、KuCoin、ChangeNow、HitBTCなどの暗号通貨取引所に預けられました。
セキュリティ事件の規模
この脆弱性は、今月記録された最大の暗号セキュリティ事件の一つです。DeFiLlamaのデータによると、すでに20件以上のプロトコルハックと脆弱性が発生しています。約3200万ドルの損失をもたらしたHumanity Protocolの脆弱性と、約800万ドルの損失を引き起こしたSyscoin Bridge攻撃のみが、より大きなものでした。
対応と今後の展望
発見後、Secret NetworkはAxelarブリッジのsaTokensを保有するユーザーに対し、資産が完全に裏付けられていない可能性があり、資金が失われる可能性があると警告しました。また、プロジェクトはそのネイティブトークンであるSCRTがこの脆弱性の影響を受けていないことを明らかにしました。Axelarは後に声明を発表し、Axelarネットワークやインターブロックチェーンコミュニケーション(IBC)プロトコルが侵害されていないことを説明しました。チームによると、脆弱性はAxelarによって開発、展開、または維持されていないサードパーティのトークン契約に存在していました。
