Incident de Sécurité sur Secret Network
L’exploitation a eu lieu le 10 juin et est restée non détectée jusqu’au 17 juin, lorsqu’une transaction inter-chaînes échouée a révélé le problème. Secret Network a averti que les saTokens bridgés par Axelar pourraient ne plus être entièrement garantis, tandis qu’Axelar a confirmé que ni son réseau ni le protocole IBC n’avaient été compromis.
Détails de l’Exploitation
Une vulnérabilité dans un contrat intelligent sur Secret Network a conduit à un vol de 4,67 millions de dollars après qu’un attaquant a réussi à créer des versions non garanties d’actifs enveloppés par Axelar et à les échanger contre des actifs réels détenus en séquestre. L’incident s’est produit le 10 juin, mais il est resté non détecté pendant une semaine entière avant d’être découvert le 17 juin, lorsqu’une transaction inter-chaînes échouée a déclenché une erreur de « fonds insuffisants ».
Selon la société de recherche blockchain Common Prefix, l’exploitation a été rendue possible par un défaut dans un contrat de jeton personnalisé qui n’a pas vérifié la source des transferts entrants avant de créer des actifs enveloppés. Cela a permis à l’attaquant de créer des actifs sur Secret Network ayant l’apparence légitime, connus sous le nom de saTokens, sans fournir de garantie réelle.
Processus de l’Attaque
En utilisant un canal de communication contrôlé par l’attaquant, celui-ci a pu forger des dépôts et créer de véritables saTokens qui semblaient entièrement garantis malgré l’absence d’actifs sous-jacents les soutenant. L’attaquant a ensuite échangé ces jetons frauduleux par le biais de canaux Axelar légitimes, drainant ainsi les actifs réels qui étaient détenus en séquestre. Parmi les actifs affectés figuraient saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB et sawstETH.
Une fois les fonds obtenus, ils ont été transférés vers Ethereum, convertis en Ether (ETH) et distribués à environ 30 portefeuilles différents pour tenter d’obscurcir le mouvement des fonds. Certains des actifs volés ont ensuite été déposés sur des échanges de cryptomonnaies, y compris KuCoin, ChangeNow et HitBTC.
Impact et Réactions
Cette exploitation est l’un des plus grands incidents de sécurité crypto enregistrés ce mois-ci. Les données de DeFiLlama montrent que plus de 20 hacks et exploitations de protocoles ont déjà eu lieu. Seules l’exploitation du Humanity Protocol, qui a entraîné des pertes d’environ 32 millions de dollars, et l’attaque du Syscoin Bridge, qui a causé des pertes d’environ 8 millions de dollars, étaient plus importantes.
Après la découverte, Secret Network a averti les utilisateurs détenant des saTokens bridgés par Axelar que les actifs pourraient ne plus être entièrement garantis et que des fonds pourraient potentiellement être perdus. Le projet a également précisé que son jeton natif SCRT n’avait pas été affecté par l’exploitation.
Axelar a ensuite publié une déclaration expliquant que ni le réseau Axelar ni le protocole de Communication Inter-Blockchain (IBC) n’avaient été compromis. Selon l’équipe, la vulnérabilité existait dans un contrat de jeton tiers qui n’avait pas été développé, déployé ou maintenu par Axelar.
