Resumen del Exploit en Secret Network
El exploit ocurrió el 10 de junio y permaneció indetectado hasta el 17 de junio, cuando una transacción fallida entre cadenas expuso el problema. Secret Network advirtió que los saTokens afectados por el puente Axelar pueden no estar completamente respaldados, mientras que Axelar confirmó que ni su red ni el protocolo IBC fueron comprometidos.
Detalles del Incidente
Una vulnerabilidad en un contrato inteligente de Secret Network llevó a un robo de $4.67 millones, después de que un atacante mintió versiones no respaldadas de activos envueltos en Axelar y las canjeó por activos reales mantenidos en custodia. El incidente, que tuvo lugar el 10 de junio, no fue detectado durante una semana, hasta que el 17 de junio una transacción fallida entre cadenas activó un error de «fondos insuficientes».
Según la firma de investigación blockchain Common Prefix, el exploit fue posible debido a un defecto en un contrato de token personalizado que no verificó la fuente de las transferencias entrantes antes de acuñar activos envueltos. Esto permitió al atacante crear activos de Secret Network que parecían legítimos, conocidos como saTokens, sin proporcionar ningún colateral real.
Al utilizar un canal de comunicación controlado por el atacante, este pudo falsificar depósitos y acuñar saTokens genuinos que aparentaban estar completamente respaldados, a pesar de no contar con activos subyacentes que los respaldaran.
Consecuencias del Robo
El atacante luego canjeó estos tokens fraudulentos a través de canales legítimos de Axelar, drenando los activos reales que estaban en custodia. Entre los activos afectados se encontraban saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. Una vez que se obtuvieron los fondos, fueron transferidos a Ethereum, convertidos en Ether (ETH) y distribuidos a aproximadamente 30 billeteras diferentes para intentar oscurecer el movimiento de los fondos. Algunos de los activos robados fueron posteriormente depositados en intercambios de criptomonedas, incluidos KuCoin, ChangeNow y HitBTC.
Impacto en el Ecosistema Cripto
Este exploit es uno de los incidentes de seguridad en criptomonedas más grandes registrados este mes. Los datos de DeFiLlama muestran que ya han ocurrido más de 20 hacks y exploits de protocolos. Solo el exploit de Humanity Protocol, que resultó en pérdidas de aproximadamente $32 millones, y el ataque al Syscoin Bridge, que causó pérdidas de alrededor de $8 millones, fueron más grandes.
Advertencias y Aclaraciones
Después del descubrimiento, Secret Network advirtió a los usuarios que poseen saTokens puenteados por Axelar que los activos pueden no estar completamente respaldados y que los fondos podrían perderse potencialmente. El proyecto también aclaró que su token nativo SCRT no fue afectado por el exploit. Axelar, por su parte, emitió un comunicado explicando que ni la red Axelar ni el protocolo de Comunicación Inter-Blockchain (IBC) habían sido comprometidos. Según el equipo, la vulnerabilidad existía en un contrato de token de terceros que no fue desarrollado, desplegado ni mantenido por Axelar.
