Insidente ng Pagnanakaw sa Secret Network
Ang insidente ng pagnanakaw ay naganap noong Hunyo 10 at nanatiling hindi natukoy hanggang Hunyo 17, nang ang isang nabigong cross-chain transaction ay nagbukas ng isyu. Nagbabala ang Secret Network na ang mga apektadong Axelar-bridged na saTokens ay maaaring hindi na ganap na nakasuporta, habang kinumpirma ng Axelar na ni ang kanilang network ni ang IBC protocol ay hindi naapektuhan.
Kahinaan sa Smart Contract
Isang kahinaan sa isang smart contract sa Secret Network ang nagdulot ng $4.67 milyong pagnanakaw matapos matagumpay na makagawa ng unbacked na bersyon ng Axelar-wrapped assets ang isang umaatake at na-redeem ito para sa mga tunay na asset na nakatago sa escrow. Ang insidente ay naganap noong Hunyo 10 ngunit hindi natukoy sa loob ng isang buong linggo bago ito natuklasan noong Hunyo 17 nang ang isang nabigong cross-chain transaction ay nag-trigger ng “insufficient funds” error.
Paglalarawan ng Insidente
Ayon sa blockchain research firm na Common Prefix, ang pagnanakaw ay naging posible dahil sa isang depekto sa isang custom token contract na hindi nakapag-verify ng pinagmulan ng inbound transfers bago i-mint ang wrapped assets. Ito ay nagbigay-daan sa umaatake na lumikha ng mga asset ng Secret Network na mukhang lehitimo, na kilala bilang saTokens, nang hindi nagbibigay ng anumang aktwal na collateral.
Sa pamamagitan ng paggamit ng isang communication channel na kontrolado ng umaatake, nagawa ng exploiter na mag-forge ng deposits at mag-mint ng tunay na saTokens na mukhang ganap na nakasuporta sa kabila ng kawalan ng mga underlying assets na sumusuporta sa mga ito. Pagkatapos, na-redeem ng umaatake ang mga fraudulent tokens na ito sa pamamagitan ng mga lehitimong Axelar channels, na nag-drain ng mga tunay na asset na nakatago sa escrow.
Apektadong Asset at Pagsubok na Itago ang Pagnanakaw
Kabilang sa mga apektadong asset ay ang saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB, at sawstETH. Kapag nakuha na ang mga pondo, ito ay na-bridge sa Ethereum, na-convert sa Ether (ETH), at ipinamigay sa humigit-kumulang 30 iba’t ibang wallets upang subukang itago ang paggalaw ng mga pondo. Ang ilan sa mga ninakaw na asset ay kalaunan ay na-deposito sa mga cryptocurrency exchanges, kabilang ang KuCoin, ChangeNow, at HitBTC.
Mga Resulta at Pagsusuri
Ang pagnanakaw na ito ay isa sa pinakamalaking insidente ng seguridad sa crypto na naitala ngayong buwan. Ipinapakita ng data mula sa DeFiLlama na higit sa 20 protocol hacks at exploits ang naganap na. Tanging ang Humanity Protocol exploit, na nagresulta sa mga pagkalugi na humigit-kumulang $32 milyon, at ang Syscoin Bridge attack, na nagdulot ng mga pagkalugi na humigit-kumulang $8 milyon, ang mas malaki.
Mga Pahayag mula sa Secret Network at Axelar
Matapos ang pagtuklas, nagbabala ang Secret Network sa mga gumagamit na may hawak na Axelar-bridged na saTokens na ang mga asset ay maaaring hindi na ganap na nakasuporta at ang mga pondo ay maaaring potensyal na mawala. Nilinaw din ng proyekto na ang kanilang katutubong SCRT token ay hindi naapektuhan ng pagnanakaw. Kalaunan ay naglabas ng pahayag ang Axelar na nagpapaliwanag na ni ang Axelar network ni ang Inter-Blockchain Communication (IBC) protocol ay hindi naapektuhan. Ayon sa koponan, ang kahinaan ay umiiral sa isang third-party token contract na hindi binuo, inilunsad, o pinanatili ng Axelar.
