Most sieci Secret Network traci 4,7 mln USD na skutek luki „Infinite Mint"

Atakujący wykorzystał lukę „infinite mint" w inteligentnym kontrakcie sieci Secret Network, tworząc opakowane aktywa Axelar bez odpowiedniego zabezpieczenia. Incydent spowodował zgłoszoną stratę w wysokości 4,67 miliona dolarów, według firmy badawczej Common Prefix zajmującej się blockchainem.

Do naruszenia doszło 10 czerwca, ale zostało zidentyfikowane tydzień później, 17 czerwca, po tym jak nieudana transakcja cross-chain wywołała błąd „niewystarczających środków" powiązany z opróżnionym kontem – podała firma Common Prefix w raporcie opublikowanym w piątek. Środki zostały następnie przekierowane na Ethereum i rozdzielone między wiele portfeli, zanim trafiły na giełdy, dodała firma.

Kluczowe wnioski

• Common Prefix przypisuje exploit o wartości 4,67 miliona dolarów luce infinite-mint w kontrakcie Secret Network, który wybił niepodparte tokeny opakowane przez Axelar.
• Problem wynikał z braku weryfikacji źródła przychodzących transferów przed wybiciem, co umożliwiło fałszowanie depozytów na kanale kontrolowanym przez atakującego.
• Dotknięte opakowane aktywa obejmowały saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB i sawstETH.
• Secret Network poinformowała, że posiadacze tokenów saXXX połączonych przez Axelar mogą ponieść straty, podczas gdy zarówno Secret, jak i Axelar podkreśliły, że token SCRT sieci Secret oraz infrastruktura Axelar nie zostały bezpośrednio naruszone.

Jak działał exploit na moście Axelar sieci Secret

Secret Network to blockchain warstwy 1 skoncentrowany na prywatności, zbudowany w ekosystemie Cosmos. Axelar z kolei został zaprojektowany w celu umożliwienia interoperacyjności między różnymi sieciami blockchain. Exploit był wymierzony w inteligentny kontrakt obsługujący opakowane aktywa Axelar na Secret, gdzie opakowane „saTokeny" mają reprezentować zabezpieczenie przechowywane w depozycie.

Common Prefix poinformował, że kontrakt nie zweryfikował pochodzenia przychodzących transferów przed wybiciem. W rezultacie atakujący mógł „sfałszować" depozyty za pomocą kanału pod swoją kontrolą, wywołując wybicie „prawdziwych saTokenów bez żadnych aktywów je zabezpieczających" – podała firma.

Po wybiciu atakujący zrealizował opakowane aktywa Axelar przez legalne kanały. Common Prefix poinformował, że realizacja opróżniła prawdziwe opakowane aktywa Axelar przechowywane w depozycie, zamieniając niepodparte reprezentacje w wartość z pokryciem.

Oś czasu i odkrycie: od 10 do 17 czerwca

Choć sam exploit miał miejsce 10 czerwca, kluczowy sygnał problemu pojawił się później. Common Prefix podał, że naruszenie zostało odkryte 17 czerwca, po tym jak transakcja cross-chain nie powiodła się z powodu błędu „niewystarczających środków" powiązanego z opróżnionym kontem.

To opóźnienie ma znaczenie dla użytkowników, ponieważ podkreśla, jak systemy związane z mostami lub depozytami mogą nadal działać normalnie – lub przynajmniej nie sygnalizować natychmiast oczywistych awarii – dopóki określone działania downstream nie ujawnią niedoboru. W praktyce może to oznaczać, że okno między wybiciem a wykryciem może być wystarczająco długie, aby aktywa zostały rozdzielone, zanim śledczy w pełni połączą wszystkie fakty.

Dokąd trafiły skradzione środki

Common Prefix poinformował, że po wykorzystaniu opakowanych tokenów atakujący przeniósł aktywa do blockchaina Ethereum i zamienił je na Ether (ETH). Firma dodała również, że atakujący podzielił wpływy między około 30 portfeli.

Portfele te zostały następnie wykorzystane do przeniesienia środków na giełdy, w tym KuCoin, ChangeNow i HitBTC, zgodnie z raportem. Podejście z wieloma portfelami to powszechna taktyka w działalności piorącej pieniądze, mająca na celu utrudnienie śledzenia poprzez rozbijanie przepływów transakcji i wzorców dystrybucji.

Które tokeny zostały dotknięte – i co Secret powiedział użytkownikom

Dotknięte opakowane aktywa Axelar wybite bez zabezpieczenia obejmowały saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB i sawstETH. Common Prefix podkreślił, że zabezpieczenie tych tokenów zostało naruszone, co oznacza, że posiadacze tokenów mogą nie być w stanie zrealizować ich na zamierzone zabezpieczenie.

W sobotę Secret Network wydało komunikat bezpieczeństwa stwierdzający, że posiadacze tokenów saXXX połączonych przez Axelar na Secret powinni spodziewać się, że ich zabezpieczenie zostanie naruszone, a ich środki „mogą zostać utracone".

Własny natywny token sieci Secret, Secret (SCRT), nie został zgłoszony jako dotknięty incydentem. Jednak komunikat podkreśla, że nie był to ogólny kompromis samej sieci, lecz ukierunkowana słabość w ścieżce wybijania dla konkretnych aktywów pomostowych.

Odpowiedź Axelar: nie naruszony, zapora ogniowa ograniczyła skutki

Axelar przyznał się do incydentu w sobotę po tym, jak wokół naruszenia pojawiło się „pewne zamieszanie". W swoim oświadczeniu Axelar stwierdził, że ani Axelar, ani IBC (Inter-Blockchain Communication) nie zostały naruszone.

Axelar dodał, że wykorzystany inteligentny kontrakt tokenów „nie został opracowany, wdrożony ani utrzymywany przez Axelar" oraz że zapora ogniowa Axelar zapobiegła rozprzestrzenieniu się skutków na inne łańcuchy.

Dla inwestorów i twórców rozróżnienie to jest istotne: zawęża prawdopodobne źródło awarii do logiki kontraktu po stronie Secret, a nie podstawowej infrastruktury interoperacyjności Axelar. Mimo to systemy cross-chain pozostają ściśle powiązane poprzez założenia dotyczące depozytu, integralności wiadomości i weryfikacji wybijania – dokładnie tam, gdzie ten exploit wydaje się złamać te założenia.

Część szerszej fali ataków na protokoły

To naruszenie pojawia się w obliczu szerszego wzorca exploitów cross-chain i protokołów. Common Prefix odnotował, że jest to jeden z serii włamań i exploitów mających miejsce w tym miesiącu, z co najmniej 22 incydentami zgłoszonymi przez bieżące śledzenie włamań DeFiLlama.

W tym samym niedawnym okresie inne zgłoszone straty związane z mostami obejmowały Humanity Protocol i Syscoin Bridge, które wcześniej w tym miesiącu poniosły zgłoszone straty odpowiednio 32 milionów dolarów i 8 milionów dolarów, zgodnie z informacjami przywołanymi w kontekście Common Prefix.

Choć każde zdarzenie ma swoją własną przyczynę, powtarzający się motyw jest podobny: wiele najwyżej wycenionych awarii ma miejsce tam, gdzie logika pomostowa spotyka się z rachunkowością aktywów – zwłaszcza gdy systemy wybijają reprezentacje na podstawie wiadomości lub depozytów, które nie są silnie uwierzytelniane end-to-end.

W przyszłości użytkownicy posiadający dotknięte saTokeny powinni obserwować dalsze ogłoszenia od Secret oraz wszelkie wskazówki dotyczące tego, czy i jak pozostałe salda mogą zostać zrealizowane. Kluczowym otwartym pytaniem jest to, jak szybko i całkowicie dotknięta ścieżka wybijania może zostać poddana audytowi i naprawiona – ponieważ w ekosystemach cross-chain nawet małe luki weryfikacyjne mogą przekładać się na realne dreny wartości z pokryciem, gdy atakujący znajdzie drogę realizacji.

Ten artykuł został pierwotnie opublikowany jako Secret Network Bridge Loses $4.7M to 'Infinite Mint' Flaw na Crypto Breaking News – zaufanym źródle wiadomości o kryptowalutach, wiadomości o Bitcoin i aktualizacjach blockchain.