Eksploitasi Secret Network: Pencurian $4,67 Juta
Pada tanggal 10 Juni 2023, terjadi eksploitasi yang mengakibatkan pencurian sebesar $4,67 juta dari Secret Network. Insiden ini baru terdeteksi pada 17 Juni, ketika transaksi lintas rantai yang gagal mengungkapkan adanya masalah. Secret Network mengeluarkan peringatan bahwa saTokens yang terpengaruh oleh jembatan Axelar mungkin tidak lagi sepenuhnya didukung. Sementara itu, Axelar mengonfirmasi bahwa baik jaringan mereka maupun protokol Inter-Blockchain Communication (IBC) tidak terkompromi.
Penyebab Eksploitasi
Eksploitasi ini disebabkan oleh kerentanan dalam kontrak pintar di Secret Network, di mana seorang penyerang berhasil mencetak versi aset yang dibungkus Axelar tanpa dukungan yang sah dan menukarnya dengan aset nyata yang disimpan dalam escrow. Meskipun insiden ini terjadi pada 10 Juni, baru terdeteksi seminggu kemudian, saat transaksi lintas rantai yang gagal memicu kesalahan “dana tidak mencukupi“.
Detail Eksploitasi
Menurut firma riset blockchain Common Prefix, eksploitasi ini dimungkinkan oleh cacat dalam kontrak token kustom yang gagal memverifikasi sumber transfer masuk sebelum mencetak aset yang dibungkus. Hal ini memungkinkan penyerang untuk menciptakan saTokens yang tampak sah tanpa memberikan jaminan nyata. Dengan memanfaatkan saluran komunikasi yang dikendalikan oleh penyerang, mereka dapat memalsukan setoran dan mencetak saTokens yang tampak sepenuhnya didukung meskipun tidak memiliki aset yang mendasarinya.
Setelah mencetak token palsu ini, penyerang menukarkannya melalui saluran Axelar yang sah, sehingga menguras aset nyata yang disimpan dalam escrow. Di antara aset yang terpengaruh adalah saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB, dan sawstETH. Setelah berhasil mendapatkan dana, mereka dijembatani ke Ethereum, dikonversi menjadi Ether (ETH), dan didistribusikan ke sekitar 30 dompet berbeda untuk menyembunyikan jejak pergerakan dana. Beberapa aset yang dicuri kemudian disetorkan ke bursa cryptocurrency, termasuk KuCoin, ChangeNow, dan HitBTC.
Reaksi dan Dampak
Eksploitasi ini merupakan salah satu insiden keamanan crypto terbesar yang tercatat bulan ini. Data dari DeFiLlama menunjukkan bahwa lebih dari 20 peretasan dan eksploitasi protokol telah terjadi. Hanya eksploitasi Humanity Protocol, yang mengakibatkan kerugian sekitar $32 juta, dan serangan Syscoin Bridge, yang menyebabkan kerugian sekitar $8 juta, yang lebih besar dari insiden ini.
Setelah penemuan tersebut, Secret Network memperingatkan pengguna yang memegang saTokens yang dijembatani Axelar bahwa aset tersebut mungkin tidak lagi sepenuhnya didukung dan bahwa dana berpotensi hilang. Proyek ini juga menegaskan bahwa token asli mereka, SCRT, tidak terpengaruh oleh eksploitasi tersebut. Axelar kemudian mengeluarkan pernyataan yang menjelaskan bahwa baik jaringan Axelar maupun protokol IBC tidak terkompromi, dan kerentanan tersebut ada dalam kontrak token pihak ketiga yang tidak dikembangkan, diterapkan, atau dipelihara oleh Axelar.
