Vụ Khai Thác Trên Secret Network
Vụ khai thác xảy ra vào ngày 10 tháng 6 và không được phát hiện cho đến ngày 17 tháng 6, khi một giao dịch xuyên chuỗi thất bại đã phơi bày vấn đề. Secret Network đã cảnh báo rằng các saTokens bị ảnh hưởng từ cầu nối Axelar có thể không còn được đảm bảo hoàn toàn, trong khi Axelar xác nhận rằng cả mạng lưới của họ và giao thức IBC đều không bị xâm phạm.
Một lỗ hổng trong hợp đồng thông minh trên Secret Network đã dẫn đến vụ khai thác trị giá 4,67 triệu USD, khi một kẻ tấn công thành công trong việc tạo ra các phiên bản không được đảm bảo của tài sản được bọc Axelar và đổi chúng lấy tài sản thực được giữ trong tài khoản ký quỹ. Sự cố xảy ra vào ngày 10 tháng 6 nhưng không được phát hiện trong suốt một tuần trước khi được phát hiện vào ngày 17 tháng 6, khi một giao dịch xuyên chuỗi thất bại kích hoạt lỗi “quỹ không đủ”.
Lỗi Trong Hợp Đồng Token Tùy Chỉnh
Theo công ty nghiên cứu blockchain Common Prefix, vụ khai thác này đã trở nên khả thi nhờ một lỗi trong hợp đồng token tùy chỉnh, không xác minh nguồn gốc của các giao dịch chuyển vào trước khi tạo ra các tài sản được bọc. Điều này cho phép kẻ tấn công tạo ra các tài sản Secret Network trông hợp pháp, được gọi là saTokens, mà không cần cung cấp bất kỳ tài sản đảm bảo thực tế nào.
Bằng cách sử dụng một kênh giao tiếp do kẻ tấn công kiểm soát, kẻ khai thác đã có thể giả mạo các khoản tiền gửi và tạo ra các saTokens hợp pháp trông như được đảm bảo hoàn toàn, mặc dù không có tài sản cơ sở nào hỗ trợ chúng. Kẻ tấn công sau đó đã đổi những token giả mạo này thông qua các kênh Axelar hợp pháp, rút cạn các tài sản thực được giữ trong tài khoản ký quỹ.
Các Tài Sản Bị Ảnh Hưởng
Trong số các tài sản bị ảnh hưởng có saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB và sawstETH. Khi các quỹ được lấy, chúng đã được chuyển đến Ethereum, chuyển đổi thành Ether (ETH), và phân phối đến khoảng 30 ví khác nhau để cố gắng che giấu sự di chuyển của các quỹ. Một số tài sản bị đánh cắp sau đó đã được gửi vào các sàn giao dịch tiền điện tử, bao gồm KuCoin, ChangeNow và HitBTC.
Vụ khai thác này là một trong những sự cố an ninh tiền điện tử lớn nhất được ghi nhận trong tháng này. Dữ liệu từ DeFiLlama cho thấy đã có hơn 20 vụ hack và khai thác giao thức xảy ra. Chỉ có vụ khai thác Humanity Protocol, dẫn đến thiệt hại khoảng 32 triệu USD, và vụ tấn công Syscoin Bridge, gây thiệt hại khoảng 8 triệu USD, là lớn hơn.
Phản Ứng Sau Vụ Khai Thác
Sau khi phát hiện, Secret Network đã cảnh báo người dùng nắm giữ saTokens cầu nối Axelar rằng các tài sản này có thể không còn được đảm bảo hoàn toàn và các quỹ có thể bị mất. Dự án cũng làm rõ rằng token gốc SCRT của họ không bị ảnh hưởng bởi vụ khai thác. Axelar sau đó đã phát hành một tuyên bố giải thích rằng cả mạng lưới Axelar và giao thức Giao tiếp Liên Blockchain (IBC) đều không bị xâm phạm. Theo nhóm, lỗ hổng tồn tại trong một hợp đồng token của bên thứ ba không được Axelar phát triển, triển khai hoặc duy trì.
