El puente Axelar de Secret Network fue drenado por 4,67 millones de dólares en un exploit no detectado

El puente Axelar de Secret Network perdió aproximadamente 4,67 millones de dólares el 10 de junio en un exploit que no se detectó hasta el 17 de junio. Según un informe de posmortem publicado el viernes por la firma de investigación blockchain Common Prefix, el atacante explotó una falla en un contrato de token personalizado CW20-ICS20 que no validó desde qué canal provenían las transferencias entrantes, lo que permitió la creación de tokens envueltos de Secret sin respaldo. La vulnerabilidad existía desde el despliegue inicial del contrato a principios de 2023, y el desfase de detección de siete días ocurrió porque el cifrado de balance predeterminado de Secret Network ocultó en cadena la falta de colateral.

El atacante explotó la validación faltante de canal en el contrato de token personalizado

El exploit se dirigió a un contrato CW20-ICS20 modificado en Secret Network que gestiona los activos puenteados desde Axelar. El contrato acuñó versiones envueltas de Secret de activos envueltos por Axelar, conocidos como saTokens, sin comprobar desde qué canal se originó una transferencia entrante. El atacante creó una cadena Cosmos de un solo validador, abrió un canal IBC hacia el contrato de puente y retransmitió por sí mismo paquetes forjados que llevaban denominaciones de tokens que coincidían con la lista de permitidos del contrato. El contrato no pudo distinguir esas denominaciones de las que llegan por el canal legítimo de Axelar y acuñó saTokens contra ellas. Al canjear los saldos acuñados de vuelta por el canal legítimo de Axelar se liberaron los activos reales mantenidos en escrow. El drenaje afectó a siete saTokens: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH, según Common Prefix.

La vulnerabilidad existía desde el despliegue a principios de 2023

Common Prefix rastreó la vulnerabilidad hasta el despliegue inicial del contrato a principios de 2023. Una migración del 5 de marzo que actualizó el bytecode para nuevas funciones trasladó las mismas verificaciones faltantes, y el ataque del 10 de junio afectó ese código migrado. En su publicación en el foro, Secret Network indicó que el contrato del puente se adaptó de un modelo de escrow a un modelo de mint para la integración con Axelar, y que se eliminaron en esa remodelación las dos funciones que habrían validado la fuente de una transferencia. Secret Network añadió que no se solicitó una auditoría externa por parte de Axelar como parte de la integración. El faltante se hizo evidente el 17 de junio cuando una transferencia normal entre cadenas en Axelar falló con un error que mostraba que la cuenta de escrow ya no tenía suficiente para cubrirla. Los investigadores rastrearon la brecha a siete retiros realizados el 10 de junio.

Axelar deshabilitó conexiones de Secret tras el descubrimiento

El comité de emergencia de Axelar deshabilitó las conexiones con Secret y Secret-SNIP después del hallazgo, y el enrutador entre cadenas Squid eliminó Secret de su frontend. Axelar afirmó que su protocolo central nunca se vio afectado y que no se tocó ninguna otra cadena, canal o cuenta de escrow. El equipo de Secret fue notificado para detener y migrar el contrato afectado. En una publicación de seguimiento, Axelar indicó: “Ni Axelar ni IBC fueron comprometidos. El contrato inteligente de token explotado no fue desarrollado, desplegado ni mantenido por Axelar”. El equipo dijo que la falla no estaba en la lógica específica de Axelar ni en IBC en sí.

Aproximadamente 672.000 dólares permanecieron en la billetera del atacante en el momento de la publicación

Secret Network señaló en su publicación en el foro que alrededor de 770.000 dólares de los fondos robados permanecían en la billetera del atacante en Axelar en el momento del post. Secret Network dijo que identificó esos activos, los marcó como recuperables y pidió al equipo de Axelar congelarlos o trabajar con su comunidad para hacerlo, “una solicitud que han decidido no perseguir”. Axelar dijo por separado que está coordinando con exchanges y fuerzas del orden y que no ha dado un cronograma para restaurar la conexión. Los datos de Axelarscan vistos por The Block mostraron que la billetera Axelar del atacante aún mantenía 6,2 WBTC, 239.324 USDC, 64,04 WBNB y 248,85 AXL, con un valor de aproximadamente 672.000 dólares a los precios en el momento de la publicación.

Los fondos robados se movieron vía Osmosis hacia exchanges de Ethereum

El rastreo de Common Prefix muestra que el atacante retiró los activos robados a Axelar, los enroutó a través de Osmosis usando reenvío automático de paquetes y luego los puenteó a Ethereum, donde en su mayoría se intercambiaron por ether en CoW Protocol. El ether se dividió en aproximadamente 30 transferencias a billeteras nuevas antes de aterrizar en direcciones de depósito en KuCoin, ChangeNow y HitBTC. Ambos tokens registraron subidas de precio en las últimas 24 horas pese al anuncio. El AXL de Axelar subió cerca de 1,3%, mientras que el SCRT de Secret subió 5,6% durante el día previo al momento de la publicación.

FAQ

¿Qué causó el exploit del puente de Secret Network por 4,67 millones de dólares el 10 de junio?

El exploit ocurrió porque un contrato de token personalizado CW20-ICS20 en Secret Network no validó desde qué canal provenían las transferencias entrantes. El atacante creó una cadena Cosmos de un solo validador, abrió un canal IBC hacia el contrato de puente y retransmitió por sí mismo paquetes forjados que el contrato aceptó como legítimos, acuñando saTokens sin respaldo que luego se canjearon por activos reales mantenidos en escrow.

¿Cuánto tiempo existió la vulnerabilidad antes del ataque del 10 de junio?

Common Prefix rastreó la vulnerabilidad hasta el despliegue inicial del contrato a principios de 2023. Una migración del 5 de marzo que actualizó el bytecode para nuevas funciones trasladó las mismas verificaciones faltantes, y el ataque del 10 de junio explotó ese código migrado.

¿Cuánto de los fondos robados permaneció recuperable en el momento de la publicación?

Los datos de Axelarscan vistos por The Block mostraron que la billetera Axelar del atacante mantenía 6,2 WBTC, 239.324 USDC, 64,04 WBNB y 248,85 AXL, con un valor de aproximadamente 672.000 dólares a los precios en el momento de la publicación. Secret Network indicó que solicitó a Axelar congelar estos activos, una solicitud que Axelar decidió no perseguir.