Introduzione all’Exploit di Secret Network
L’exploit è avvenuto il 10 giugno ed è rimasto non rilevato fino al 17 giugno, quando una transazione cross-chain fallita ha rivelato il problema. Secret Network ha avvertito che gli saTokens collegati tramite Axelar potrebbero non essere più completamente garantiti, mentre Axelar ha confermato che né la sua rete né il protocollo IBC sono stati compromessi.
Dettagli dell’Incidente
Una vulnerabilità in un contratto intelligente su Secret Network ha portato a un furto di 4,67 milioni di dollari, dopo che un attaccante ha mintato con successo versioni non garantite di asset avvolti da Axelar e li ha riscattati per asset reali detenuti in custodia. L’incidente è avvenuto il 10 giugno, ma è rimasto non rilevato per un’intera settimana prima di essere scoperto il 17 giugno, quando una transazione cross-chain fallita ha attivato un errore di “fondi insufficienti”.
Meccanismo dell’Attacco
Secondo la società di ricerca blockchain Common Prefix, l’exploit è stato reso possibile da un difetto in un contratto di token personalizzato che non ha verificato la fonte dei trasferimenti in entrata prima di mintare asset avvolti. Questo ha permesso all’attaccante di creare asset di Secret Network dall’aspetto legittimo, noti come saTokens, senza fornire alcun collaterale reale.
Utilizzando un canale di comunicazione controllato dall’attaccante, l’exploiter è stato in grado di falsificare depositi e mintare saTokens genuini che sembravano completamente garantiti, nonostante non avessero alcun asset sottostante a sostenerli. L’attaccante ha quindi riscattato questi token fraudolenti attraverso canali legittimi di Axelar, drenando gli asset reali che erano detenuti in custodia.
Asset Colpiti e Movimenti dei Fondi
Tra gli asset colpiti c’erano saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB e sawstETH. Una volta ottenuti i fondi, sono stati trasferiti su Ethereum, convertiti in Ether (ETH) e distribuiti a circa 30 portafogli diversi per cercare di oscurare il movimento dei fondi. Alcuni degli asset rubati sono stati successivamente depositati in exchange di criptovalute, tra cui KuCoin, ChangeNow e HitBTC.
Impatto e Risposta
Questo exploit è uno dei più grandi incidenti di sicurezza nel settore delle criptovalute registrati questo mese. I dati di DeFiLlama mostrano che sono già avvenuti più di 20 hack e exploit di protocollo. Solo l’exploit del Humanity Protocol, che ha comportato perdite di circa 32 milioni di dollari, e l’attacco al Syscoin Bridge, che ha causato perdite di circa 8 milioni di dollari, sono stati più grandi.
Dopo la scoperta, Secret Network ha avvertito gli utenti che detenevano saTokens collegati tramite Axelar che gli asset potrebbero non essere più completamente garantiti e che i fondi potrebbero potenzialmente andare persi. Il progetto ha anche chiarito che il suo token nativo SCRT non è stato colpito dall’exploit.
Dichiarazioni di Axelar
Axelar ha successivamente emesso una dichiarazione spiegando che né la rete Axelar né il protocollo di Comunicazione Inter-Blockchain (IBC) erano stati compromessi. Secondo il team, la vulnerabilità esisteva in un contratto di token di terze parti che non era stato sviluppato, distribuito o mantenuto da Axelar.
