Эксплуатация уязвимости в Secret Network
10 июня 2023 года произошла эксплуатация уязвимости в смарт-контракте Secret Network, которая оставалась незамеченной до 17 июня. Проблема была выявлена в результате неудачной кросс-цепочной транзакции, которая вызвала ошибку «недостаточно средств». Secret Network предупредила, что затронутые saTokens, связанные с Axelar, могут больше не быть полностью обеспеченными. При этом Axelar подтвердил, что ни его сеть, ни протокол IBC не были скомпрометированы.
Механизм эксплуатации
Злоумышленник смог создать необеспеченные версии активов, обернутых Axelar, и обменять их на реальные активы, хранящиеся в эскроу. Согласно данным исследовательской компании в области блокчейна Common Prefix, эксплуатация стала возможной из-за недостатка в контракте пользовательского токена, который не проверял источник входящих переводов перед созданием обернутых активов. Это позволило злоумышленнику создать активы Secret Network, известные как saTokens, без предоставления реального обеспечения.
Используя контролируемый злоумышленником канал связи, он смог подделать депозиты и создать настоящие saTokens, которые выглядели полностью обеспеченными, несмотря на отсутствие поддерживающих их активов. Затем злоумышленник обменял эти мошеннические токены через легитимные каналы Axelar, исчерпывая реальные активы, хранящиеся в эскроу. Среди затронутых активов были saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и saWstETH.
Последствия инцидента
Как только средства были получены, они были переведены на Ethereum, конвертированы в Ether (ETH) и распределены по примерно 30 различным кошелькам, чтобы попытаться скрыть движение средств. Некоторые из украденных активов позже были внесены на криптовалютные биржи, включая KuCoin, ChangeNow и HitBTC. Эта эксплуатация стала одним из крупнейших инцидентов безопасности в криптовалюте, зафиксированных в этом месяце.
Данные от DeFiLlama показывают, что уже произошло более 20 взломов и эксплойтов протоколов. Только эксплуатация Humanity Protocol, которая привела к потерям примерно в $32 миллиона, и атака на Syscoin Bridge, вызвавшая потери около $8 миллионов, были больше.
