攻击概述
此次攻击发生在2023年6月10日,直到6月17日才被发现。当时,一次失败的跨链交易暴露了问题。Secret Network警告称,受影响的Axelar桥接saTokens可能不再完全有保障,而Axelar确认其网络和IBC协议并未受到影响。
攻击细节
由于Secret Network的智能合约存在漏洞,攻击者成功铸造了未被支持的Axelar包装资产,并将其兑换为保存在托管账户中的真实资产,导致了467万美元的损失。该事件在6月10日发生,但在被发现之前持续了一整周,直到6月17日,一次失败的跨链交易触发了“资金不足”的错误,才揭露了这一问题。
根据区块链研究公司Common Prefix的分析,此次攻击得以实现是由于一个自定义代币合约的缺陷,该合约在铸造包装资产之前未能验证入站转账的来源。
这使得攻击者能够在没有提供任何实际抵押品的情况下,创建看似合法的Secret Network资产,称为saTokens。通过使用攻击者控制的通信渠道,攻击者能够伪造存款并铸造看似完全有保障的真实saTokens,尽管实际上没有任何基础资产支持它们。
资产流动与后果
随后,攻击者通过合法的Axelar渠道兑换这些欺诈性代币,抽走了保存在托管账户中的真实资产。受影响的资产包括saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和saWstETH。获得资金后,这些资产被桥接到以太坊,转换为以太币(ETH),并分发到大约30个不同的钱包,以试图掩盖资金的流动。
一些被盗资产随后被存入加密货币交易所,包括KuCoin、ChangeNow和HitBTC。此次攻击是本月记录的最大加密安全事件之一。
行业影响
DeFiLlama的数据表明,已经发生了超过20起协议黑客攻击和漏洞事件。只有Humanity Protocol的攻击造成了约3200万美元的损失,以及Syscoin Bridge的攻击造成了约800万美元的损失,规模更大。
事件被发现后,Secret Network警告持有Axelar桥接saTokens的用户,这些资产可能不再完全有保障,资金可能会面临损失。该项目还澄清,其本地SCRT代币未受到此次攻击的影响。Axelar随后发表声明,解释称Axelar网络和跨链通信(IBC)协议均未受到影响。根据团队的说法,漏洞存在于一个第三方代币合约中,该合约并非由Axelar开发、部署或维护。
