Sicherheitsvorfall im Secret Network
Am 10. Juni 2023 ereignete sich ein schwerwiegender Sicherheitsvorfall im Secret Network, der bis zum 17. Juni unentdeckt blieb. Eine fehlgeschlagene Cross-Chain-Transaktion offenbarte schließlich die Schwachstelle. Secret Network warnte, dass die betroffenen, an Axelar gebundenen saTokens möglicherweise nicht mehr vollständig gedeckt sind. Axelar bestätigte, dass weder sein Netzwerk noch das Inter-Blockchain Communication (IBC)-Protokoll kompromittiert wurden.
Details des Exploits
Der Exploit, der zu einem Verlust von 4,67 Millionen Dollar führte, wurde durch eine Schwachstelle in einem Smart Contract auf Secret Network ermöglicht. Ein Angreifer konnte ungedeckte Versionen von Axelar-umwickelten Vermögenswerten prägen und diese gegen echte Vermögenswerte eintauschen, die in Treuhand gehalten wurden. Der Vorfall blieb eine ganze Woche unentdeckt, bis eine fehlgeschlagene Cross-Chain-Transaktion einen Fehler mit der Meldung „unzureichende Mittel“ auslöste.
Laut der Blockchain-Forschungsfirma Common Prefix wurde der Exploit durch einen Fehler in einem benutzerdefinierten Token-Vertrag ermöglicht, der es versäumte, die Quelle eingehender Überweisungen vor der Prägung von umwickelten Vermögenswerten zu überprüfen.
Dies erlaubte es dem Angreifer, legitim aussehende Secret Network-Vermögenswerte, bekannt als saTokens, zu erstellen, ohne tatsächliche Sicherheiten bereitzustellen. Durch die Nutzung eines vom Angreifer kontrollierten Kommunikationskanals war es ihm möglich, Einzahlungen zu fälschen und echte saTokens zu prägen, die vollständig gedeckt schienen, obwohl sie keine zugrunde liegenden Vermögenswerte hatten.
Der Angreifer tauschte dann diese betrügerischen Token über legitime Axelar-Kanäle ein und entleerte die echten Vermögenswerte, die in Treuhand gehalten wurden. Zu den betroffenen Vermögenswerten gehörten saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB und sawstETH. Nachdem die Gelder erlangt wurden, wurden sie nach Ethereum übertragen, in Ether (ETH) umgewandelt und auf etwa 30 verschiedene Wallets verteilt, um die Bewegung der Gelder zu verschleiern. Einige der gestohlenen Vermögenswerte wurden später in Kryptowährungsbörsen wie KuCoin, ChangeNow und HitBTC eingezahlt.
Auswirkungen und Reaktionen
Dieser Exploit zählt zu den größten Sicherheitsvorfällen im Krypto-Bereich in diesem Monat. Daten von DeFiLlama zeigen, dass bereits mehr als 20 Protokoll-Hacks und Exploits stattgefunden haben. Nur der Humanity Protocol-Exploit, der zu Verlusten von etwa 32 Millionen Dollar führte, und der Syscoin Bridge-Angriff, der Verluste von rund 8 Millionen Dollar verursachte, waren größer.
Nach der Entdeckung warnte Secret Network die Benutzer, die Axelar-gebundene saTokens hielten, dass die Vermögenswerte möglicherweise nicht mehr vollständig gedeckt sind und dass Gelder potenziell verloren gehen könnten. Das Projekt stellte auch klar, dass sein natives SCRT-Token nicht von dem Exploit betroffen war. Axelar gab später eine Erklärung ab, in der erläutert wurde, dass weder das Axelar-Netzwerk noch das IBC-Protokoll kompromittiert worden waren. Laut dem Team bestand die Schwachstelle in einem Token-Vertrag eines Drittanbieters, der nicht von Axelar entwickelt, bereitgestellt oder gewartet wurde.
