TheBlock
Secret Network'ün Axelar köprüsü, 10 Haziran'da bir saldırganın Axelar ile sarılı varlıkların Secret ile sarılı versiyonları — saToken'lar — üreten özel bir CW20-ICS20 sözleşmesindeki bir açığı kullanarak yaklaşık 4,67 milyon dolar boşaltmasıyla vuruldu; sözleşme, gelen transferin hangi IBC kanalından geldiğini doğrulamıyordu. Baş Axelar sorumlusu Common Prefix'in olay sonrası raporuna göre saldırgan tek-doğrulayıcılı bir Cosmos zinciri kurdu, sözleşmeye bir IBC kanalı açtı ve sözleşmenin izin listesindeki denominasyonlarla eşleşen sahte paketleri kendi üzerinden aktardı; karşılığında hiçbir şey olmadan gerçek saToken'lar bastı. Boşaltma yedi gün boyunca fark edilmedi; ancak 17 Haziran'da, escrow hesabı artık transferi karşılayacak kadar bakiye tutmadığı için normal bir çapraz-zincir transferi başarısız olunca ortaya çıktı.
Neden önemli
Açık yeni değildi — Common Prefix, eksik kanal kontrolünü sözleşmenin 2023'ün başındaki dağıtımına kadar izini sürdü; 5 Mart'ta yeni özellikler için bytecode'u güncelleyen bir geçiş de aynı hatayı taşıyordu. Secret Network'ün kendi yazısında, Axelar entegrasyonu için köprü sözleşmesinin escrow modelinden mint modeline yeniden tasarlandığı ve bir transferin kaynağını doğrulayacak iki fonksiyonun bu yeniden tasarım sırasında kaldırıldığı belirtildi. Kritik biçimde, Axelar entegrasyonunun bir parçası olarak harici bir denetim talep edilmedi; şifreli zincir üstü bakiyeleri de açığı, Ethereum'da boşaltılan bir havuzda olacağı şekilde görünür kılmadı. İstismar, ZEC'nin yüzde 30'dan fazla düşmesine yol açan sahtecilik açığının ortaya çıktığı yakın tarihli Zcash ifşasıyla açık bir paralellik kurdu.
Piyasa etkisi
Yedi saToken — saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB ve sawstETH — boşaltıldı; saldırgan geliri Osmosis üzerinden paket yönlendirmesiyle aktardı, ardından Ethereum'a köprüledi ve büyük kısmını CoW Protocol'de ether'e çevirip yaklaşık 30 yeni cüzdana dağıttı; fonlar KuCoin, ChangeNow ve HitBTC'ye ulaştı. Axelar'ın acil durum komitesi Secret ve Secret-SNIP bağlantılarını devre dışı bıraktı, çapraz-zincir yönlendirici Squid ağı listeden çıkardı; Axelar ekibi çekirdek protokolünün etkilenmediğini söyledi.
Sıkça sorulan sorular
-
Saldırgan Secret-Axelar köprüsünü nasıl boşalttı?
Saldırgan tek-doğrulayıcılı bir Cosmos zinciri kurdu, Secret üzerindeki özel CW20-ICS20 sözleşmesine bir IBC kanalı açtı ve denominasyonları sözleşmenin izin listesiyle eşleşen sahte paketleri kendi üzerinden aktardı. Sözleşme bu çıplak denominasyonları Axelar'ın gerçek kanalından ayırt edemediği için karşılıksız…
-
Hangi token'lar boşaltıldı ve ne kadar alındı?
Common Prefix'in olay sonrası raporuna göre yedi saToken üzerinden yaklaşık 4,67 milyon dolar alındı: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB ve sawstETH.
-
İstismar yedi gün boyunca neden fark edilmedi?
Secret Network bakiyeleri varsayılan olarak şifrelendiğinden eksik teminat, Ethereum'da boşalan bir havuzda olacağı gibi zincir üstünde görünür değildi. Açık ancak 17 Haziran'da, rutin bir çapraz-zincir transferi escrow hesabının artık karşılamadığını gösteren bir hata vererek başarısız olduğunda ortaya çıktı.
-
Açık yeni miydi ve kod denetlendi mi?
Common Prefix, eksik kanal kontrolünü sözleşmenin 2023'ün başındaki ilk dağıtımına kadar izini sürdü; yeni özellikler için bytecode'u güncelleyen 5 Mart geçişi de aynı hatayı taşıyordu. Secret Network'ün kendi yazısında, Axelar entegrasyonunun bir parçası olarak harici bir denetim talep edilmediği belirtildi.
-
Çalınan fonlara ve köprüye ne oldu?
Saldırgan geliri Osmosis üzerinden Ethereum'a yönlendirdi, CoW Protocol'de ETH'ye çevirdi ve bakiyeyi KuCoin, ChangeNow ve HitBTC'ye ulaşan yaklaşık 30 yeni cüzdana dağıttı. Axelar'ın acil durum komitesi Secret ve Secret-SNIP bağlantılarını devre dışı bıraktı, Squid ağı listeden çıkardı; Axelar soruşturmanın sürdüğünü…
Lookonchain
WuBlockchain
CoinTelegraph