Secret Network 해킹 사건 개요
2023년 6월 10일, 해커가 Secret Network의 스마트 계약에서 발생한 취약점을 이용해 467만 달러를 탈취하는 사건이 발생했습니다. 이 공격은 6월 17일에 실패한 크로스 체인 거래가 “자금 부족” 오류를 유발할 때까지 탐지되지 않았습니다. Secret Network는 영향을 받은 Axelar-브릿지 saTokens가 더 이상 완전히 지원되지 않을 수 있다고 경고했으며, Axelar 측은 자사의 네트워크나 IBC 프로토콜이 손상되지 않았다고 확인했습니다.
공격 방법 및 피해
공격자는 Secret Network의 스마트 계약에서 발생한 취약점을 통해 Axelar로 포장된 자산의 지원되지 않는 버전을 성공적으로 발행하고, 이를 에스크로에 보관된 실제 자산으로 교환함으로써 467만 달러의 피해를 입혔습니다. 블록체인 연구 회사 Common Prefix에 따르면, 이 공격은 맞춤형 토큰 계약의 결함으로 인해 가능해졌으며, 이는 포장된 자산을 발행하기 전에 수신 거래의 출처를 확인하지 못했기 때문입니다. 이로 인해 공격자는 실제 담보 없이도 saTokens로 알려진 Secret Network 자산을 합법적으로 보이도록 생성할 수 있었습니다.
사기성 토큰의 발행 및 자산 이동
공격자는 제어하는 통신 채널을 통해 예치금을 위조하고, 실제 자산이 지원되지 않는 것처럼 보이는 진짜 saTokens를 발행할 수 있었습니다. 이후 이들은 이러한 사기성 토큰을 합법적인 Axelar 채널을 통해 교환하여 에스크로에 보관된 실제 자산을 소진했습니다. 영향을 받은 자산에는 saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB, 및 sawstETH가 포함되었습니다.
자금이 확보된 후, 이들은 이더리움으로 브릿지되어 이더(ETH)로 변환되었고, 자금의 이동을 숨기기 위해 약 30개의 서로 다른 지갑으로 분배되었습니다. 일부 도난 자산은 나중에 KuCoin, ChangeNow 및 HitBTC와 같은 암호화폐 거래소에 입금되었습니다.
사건의 영향 및 후속 조치
이번 공격은 2023년 6월에 기록된 가장 큰 암호화폐 보안 사건 중 하나로, DeFiLlama의 데이터에 따르면 이미 20건 이상의 프로토콜 해킹 및 공격이 발생했습니다. Humanity Protocol 공격과 Syscoin Bridge 공격만이 각각 약 3200만 달러와 800만 달러의 손실을 초래하며 더 큰 피해를 입혔습니다.
발견 후, Secret Network는 Axelar-브릿지 saTokens를 보유한 사용자에게 자산이 더 이상 완전히 지원되지 않을 수 있으며 자금이 손실될 가능성이 있다고 경고했습니다. 또한, 이 프로젝트는 자사의 네이티브 SCRT 토큰은 공격의 영향을 받지 않았다고 명확히 했습니다.
Axelar는 나중에 Axelar 네트워크나 인터 블록체인 커뮤니케이션(IBC) 프로토콜이 손상되지 않았다고 설명하는 성명을 발표했습니다. 팀에 따르면, 취약점은 Axelar에 의해 개발, 배포 또는 유지 관리되지 않은 제3자 토큰 계약에 존재했습니다.
