Secret Network chịu tổn thất 4,67 triệu USD do bị khai thác lỗ hổng cầu liên chuỗi

ChainCatcher báo cáo, tổ chức nghiên cứu blockchain Common Prefix tiết lộ rằng vào ngày 10 tháng 6, kẻ tấn công đã khai thác lỗ hổng trong hợp đồng cầu nối跨链 giữa Secret Network và Axelar để giả mạo khoản gửi và đúc tiền mã hóa không có tài sản đảm bảo, sau đó chuyển đổi và rút tiền khoảng 4,67 triệu USD. Cuộc tấn công kéo dài bảy ngày mà không bị phát hiện, cho đến khi vào ngày 17 tháng 6, một giao dịch跨链 bình thường thất bại do tài khoản ký quỹ không đủ vốn, mới phơi bày sự bất thường. Nguồn gốc lỗ hổng nằm ở việc hợp đồng đã xóa hai hàm quan trọng dùng để xác minh nguồn gốc giao dịch khi chuyển từ mô hình ký quỹ sang mô hình đúc tiền, và kể từ khi triển khai đầu năm 2023, hợp đồng chưa từng được kiểm toán bên ngoài. Secret Network cho biết cơ sở hạ tầng cầu nối Axelar đã không kích hoạt bất kỳ cơ chế giám sát bất thường hoặc tạm dừng khẩn cấp nào trước khi tài sản bị đánh cắp quy mô lớn. Số tiền bị đánh cắp đã được định tuyến qua Osmosis đến Ethereum, sau đó được chuyển đổi thành ETH trên CoW Protocol và phân tán chuyển vào các sàn giao dịch như KuCoin, ChangeNow và HitBTC. Hiện khoảng 672.000 USD vẫn còn tồn đọng trong ví Axelar của kẻ tấn công. Secret Network đã yêu cầu Axelar đóng băng địa chỉ này, nhưng bị từ chối. Axelar nhấn mạnh rằng giao thức cốt lõi của họ chưa từng bị ảnh hưởng, và hợp đồng bị khai thác không do Axelar phát triển hoặc duy trì. Hiện Axelar đã vô hiệu hóa kết nối跨链 liên quan và cho biết đang phối hợp với các sàn giao dịch cùng cơ quan thực thi pháp luật để theo dõi sự việc.