Jembatan Axelar milik Secret Network kehilangan sekitar $4,67 juta pada 10 Juni dalam sebuah exploit yang baru terdeteksi pada 17 Juni. Menurut postmortem yang diterbitkan Jumat oleh perusahaan riset blockchain Common Prefix, penyerang mengeksploitasi celah pada kontrak token kustom CW20-ICS20 yang gagal memvalidasi dari kanal mana transfer inbound berasal, sehingga memungkinkan pembuatan token Secret-wrapped tanpa jaminan. Kerentanan tersebut sudah ada sejak kontrak pertama kali dideploy pada awal 2023, dan celah deteksi selama tujuh hari terjadi karena enkripsi default balance Secret Network menyembunyikan kolateral yang hilang di rantai.
Penyerang Mengeksploitasi Validasi Kanal yang Hilang pada Kontrak Token Kustom
Exploit menargetkan kontrak CW20-ICS20 yang dimodifikasi di Secret Network yang menangani aset yang di-bridge dari Axelar. Kontrak tersebut mencetak versi Secret-wrapped dari aset Axelar-wrapped, yang dikenal sebagai saTokens, tanpa memeriksa kanal mana transfer inbound berasal. Penyerang membuat rantai Cosmos ber-validator tunggal, membuka kanal IBC ke kontrak bridge, lalu self-relay paket palsu yang membawa denominasi token yang cocok dengan daftar allow-list kontrak. Kontrak tidak dapat membedakan denominasi tersebut dari denominasi yang masuk lewat kanal legal milik Axelar dan kemudian mencetak saTokens melawannya. Ketika saldo saTokens hasil cetak ditebus kembali melalui kanal legal Axelar, aset aktual yang ditahan dalam escrow dilepaskan. Drain tersebut memengaruhi tujuh saTokens: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB dan sawstETH, menurut Common Prefix.
Kerentanan Sudah Ada Sejak Deploy Awal 2023
Common Prefix menelusuri kerentanan tersebut ke deploy awal kontrak pada awal 2023. Migrasi 5 Maret yang memperbarui bytecode untuk fitur baru membawa pengecekan yang sama yang hilang, dan serangan 10 Juni menargetkan kode yang telah bermigrasi itu. Dalam posting forumnya, Secret Network menyatakan kontrak jembatan telah diadaptasi dari model escrow ke model mint untuk integrasi Axelar, dan dua fungsi yang seharusnya memvalidasi sumber transfer dihapus dalam perombakan tersebut. Secret Network menambahkan bahwa Axelar tidak meminta audit eksternal sebagai bagian dari integrasi. Kekurangan itu muncul pada 17 Juni ketika transfer lintas-chain normal di Axelar gagal dengan error yang menunjukkan akun escrow tidak lagi memegang cukup dana untuk menutupinya. Penyelidik menelusuri celah tersebut ke tujuh penarikan yang dilakukan pada 10 Juni.
Axelar Menonaktifkan Koneksi Secret Setelah Ditemukan
Komite darurat Axelar menonaktifkan koneksi Secret dan Secret-SNIP setelah penemuan, dan router lintas-chain Squid menghapus Secret dari front-end-nya. Axelar menyatakan protokol intinya tidak terpengaruh dan tidak ada chain, kanal, atau akun escrow lain yang tersentuh. Tim Secret diberi tahu untuk menghentikan dan memigrasikan kontrak yang terdampak. Dalam posting lanjutan, Axelar menyatakan: "Baik Axelar maupun IBC tidak dikompromikan. Kontrak smart token yang dieksploitasi tidak dikembangkan, dideploy, atau dipelihara oleh Axelar." Tim mengatakan celah itu bukan pada logika spesifik Axelar atau pada IBC itu sendiri.
Sekitar $672.000 Tersisa di Wallet Penyerang pada Waktu Publikasi
Secret Network menyatakan dalam posting forum bahwa sekitar $770.000 dari dana curian masih tersisa di wallet penyerang di Axelar pada saat posting. Secret Network mengatakan pihaknya mengidentifikasi aset-aset tersebut, menandainya sebagai dapat dipulihkan, dan mengajukan petisi kepada tim Axelar untuk membekukan aset tersebut atau bekerja sama dengan komunitasnya, "permintaan yang telah mereka putuskan untuk tidak ditindaklanjuti." Axelar mengatakan secara terpisah bahwa pihaknya berkoordinasi dengan bursa dan penegak hukum serta belum memberikan timeline untuk memulihkan koneksi. Data Axelarscan yang dilihat oleh The Block menunjukkan wallet Axelar penyerang masih memegang 6,2 WBTC, 239.324 USDC, 64,04 WBNB dan 248,85 AXL, senilai sekitar $672.000 pada harga saat publikasi.
Dana Dicuri Dipindahkan Melalui Osmosis ke Bursa Ethereum
Pelacakan Common Prefix menunjukkan penyerang menarik aset curian ke Axelar, merutekannya melalui Osmosis menggunakan automated packet-forwarding, lalu melakukan bridge ke Ethereum dan sebagian besar menukarnya menjadi ether di CoW Protocol. Ether itu dipecah menjadi sekitar 30 transfer ke wallet baru sebelum mendarat di alamat deposit di KuCoin, ChangeNow, dan HitBTC. Kedua token tersebut mengalami kenaikan harga dalam 24 jam terakhir meski pengungkapan. AXL milik Axelar naik sekitar 1,3%, sementara SCRT milik Secret naik 5,6% selama sehari terakhir pada waktu publikasi.
FAQ
Apa yang menyebabkan exploit jembatan Secret Network senilai $4,67 juta pada 10 Juni?
Exploit terjadi karena kontrak token kustom CW20-ICS20 di Secret Network gagal memvalidasi kanal mana asal transfer inbound. Penyerang membuat rantai Cosmos ber-validator tunggal, membuka kanal IBC ke kontrak bridge, dan self-relayed paket palsu yang diterima kontrak sebagai sah, mencetak saTokens tanpa jaminan yang kemudian ditebus untuk aset aktual yang ditahan dalam escrow.
Berapa lama kerentanan itu ada sebelum serangan 10 Juni?
Common Prefix menelusuri kerentanan tersebut ke deploy awal kontrak pada awal 2023. Migrasi 5 Maret yang memperbarui bytecode untuk fitur baru membawa pengecekan yang sama yang hilang, dan serangan 10 Juni mengeksploitasi kode yang telah dimigrasikan itu.
Seberapa besar dana curian yang tersisa dapat dipulihkan pada waktu publikasi?
Data Axelarscan yang dilihat oleh The Block menunjukkan wallet Axelar penyerang memegang 6,2 WBTC, 239.324 USDC, 64,04 WBNB dan 248,85 AXL, senilai sekitar $672.000 pada harga saat publikasi. Secret Network menyatakan pihaknya mengajukan petisi kepada Axelar untuk membekukan aset-aset tersebut, permintaan yang ditolak Axelar untuk ditindaklanjuti.
