Cargando precios…
Zipp Zipp Publicitar
Registrarse Iniciar sesión
🩸BEARISH TheBlock

Exploit drena puente Axelar de Secret Network por 4,67M$

Los saldos cifrados ocultaron el desfalco durante una semana — el coste real es la capa de monitorización ausente y una ventana de recuperación de 770.000 dólares que Axelar ha rechazado aprovechar.

El puente Axelar de Secret Network fue vaciado de aproximadamente 4,67 millones de dólares el 10 de junio tras un atacante que explotó un fallo en un contrato personalizado CW20-ICS20 que mintea versiones envueltas en Secret de activos envueltos en Axelar — conocidos como saTokens — sin verificar por qué canal IBC llegó una transferencia entrante. Según un postmortem de Common Prefix, principal administrador de Axelar, el atacante levantó una cadena Cosmos con un único validador, abrió un canal IBC con el contrato y se auto-envió paquetes falsificados con denominaciones que coincidían con la lista permitida del contrato, minteando saTokens reales a cambio de nada. El desfalco pasó inadvertido durante siete días, saliendo a la luz solo el 17 de junio, cuando una transferencia cross-chain normal falló porque la cuenta de escrow ya no tenía saldo suficiente para cubrirla.

Por qué importa

La vulnerabilidad no era nueva — Common Prefix rastreó la falta de comprobación del canal hasta el despliegue del contrato a principios de 2023, y una migración del 5 de marzo que actualizó el bytecode para añadir nuevas funciones arrastró el mismo defecto. El propio informe de Secret Network indicaba que el contrato del puente se reformuló de un modelo de escrow a un modelo de mint para la integración con Axelar, y las dos funciones que habrían validado el origen de una transferencia se eliminaron en esa reforma. Algo crucial: Axelar no solicitó ninguna auditoría externa como parte de la integración, y los saldos cifrados en cadena hicieron que el desfalco fuera invisible, como no lo habría sido un pool vaciado en Ethereum. El exploit trazó un paralelismo explícito con la reciente divulgación de Zcash, donde una vulnerabilidad de falsificación hundió ZEC más de un 30%.

Impacto en el mercado

Se vaciaron siete saTokens — saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH — y el atacante desvió los beneficios a través de Osmosis mediante packet-forwarding antes de enviarlos por puente a Ethereum y cambiarlos en su mayor parte por ether en CoW Protocol, repartiéndolos entre unas 30 wallets nuevas que terminaron en KuCoin, ChangeNow y HitBTC. El comité de emergencia de Axelar desactivó las conexiones Secret y Secret-SNIP, y el router cross-chain Squid retiró la red de su listado; el equipo de Axelar aseguró que su protocolo principal no se había visto afectado.

Tokens relacionados
$SCRT $AXL
$SCRT#AXL#BridgeExploit#InfiniteMint

Preguntas frecuentes

  1. ¿Cómo vació el atacante el puente Secret-Axelar?

    El atacante levantó una cadena Cosmos con un único validador, abrió un canal IBC con un contrato CW20-ICS20 personalizado en Secret y se auto-envió paquetes falsificados cuyas denominaciones coincidían con la lista permitida del contrato. El contrato no pudo distinguir esas denominaciones simples del canal real de…

  2. ¿Qué tokens se vaciaron y cuánto se llevó?

    Se sustrajeron aproximadamente 4,67 millones de dólares repartidos entre siete saTokens: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH, según el postmortem de Common Prefix.

  3. ¿Por qué el exploit pasó inadvertido durante siete días?

    Los saldos de Secret Network están cifrados por defecto, por lo que la falta de garantía no era visible en cadena como lo habría sido un pool vaciado en Ethereum. El desfalco solo salió a la luz el 17 de junio, cuando una transferencia cross-chain rutinaria falló con un error que mostraba que la cuenta de escrow ya no…

  4. ¿Era nueva la vulnerabilidad y se auditó el código?

    Common Prefix rastreó la falta de comprobación del canal hasta el despliegue inicial del contrato a principios de 2023, y una migración del 5 de marzo que actualizó el bytecode para añadir nuevas funciones arrastró el mismo defecto. El propio informe de Secret Network indicaba que Axelar no solicitó ninguna auditoría…

  5. ¿Qué ha pasado con los fondos robados y con el puente?

    El atacante desvió los beneficios a través de Osmosis hacia Ethereum, los cambió a ETH en CoW Protocol y repartió el saldo entre unas 30 wallets nuevas que terminaron en KuCoin, ChangeNow y HitBTC. El comité de emergencia de Axelar desactivó las conexiones Secret y Secret-SNIP, Squid retiró la red de su listado, y…

Atribución de fuente
Agregado de TheBlock · Verificado · Última actualización hace 1h
Abrir original →

Más de Seguridad

Historias que nuestros editores creen que combinan bien con esta.

Más antiguo en Seguridad

Ponte al día con la cobertura anterior de este tema.