coin-img-ETHETH-0.16%coin-img-BTCBTC+0.30%coin-img-SOLSOL+3.93%coin-img-USDCUSDC+0.01%coin-img-XRPXRP-0.17%coin-img-TRXTRX+0.71%coin-img-DOGEDOGE+0.23%coin-img-SUISUI+0.48%coin-img-ETHETH-0.16%coin-img-BTCBTC+0.30%coin-img-SOLSOL+3.93%coin-img-USDCUSDC+0.01%coin-img-XRPXRP-0.17%coin-img-TRXTRX+0.71%coin-img-DOGEDOGE+0.23%coin-img-SUISUI+0.48%coin-img-ETHETH-0.16%coin-img-BTCBTC+0.30%coin-img-SOLSOL+3.93%coin-img-USDCUSDC+0.01%coin-img-XRPXRP-0.17%coin-img-TRXTRX+0.71%coin-img-DOGEDOGE+0.23%coin-img-SUISUI+0.48%coin-img-ETHETH-0.16%coin-img-BTCBTC+0.30%coin-img-SOLSOL+3.93%coin-img-USDCUSDC+0.01%coin-img-XRPXRP-0.17%coin-img-TRXTRX+0.71%coin-img-DOGEDOGE+0.23%coin-img-SUISUI+0.48%

Axelar aclara el origen del exploit de 4,67 millones de dólares vinculado al puente de Secret Network

Axelar aseguró que el exploit asociado a Secret Network, valorado en 4,67 millones de dólares, se originó en un contrato bifurcado de Secret Network que eliminó salvaguardas clave en la acuñación de tokens. La compañía subrayó que ni Axelar ni el protocolo InterBlockchain Communication (IBC) fueron comprometidos. La aclaración llega después del informe postmortem de Common Prefix, que atribuyó el incidente del 10 de junio a un contrato inteligente vulnerable en Secret Network. Axelar indicó que el contrato explotado no fue desarrollado, desplegado ni mantenido por su equipo. Según Axelar, el contrato afectado era un fork de la implementación CW20ICS20 utilizada para envolver activos que llegan vía IBC. Sus desarrolladores habrían retirado dos comprobaciones de seguridad que normalmente impiden la acuñación no autorizada, abriendo la puerta a una vulnerabilidad de "acuñación infinita". Axelar añadió que esa modificación alteró los supuestos de confianza del contrato y no pasó por una nueva auditoría. Common Prefix llegó a una conclusión similar. En su investigación, Common Prefix explicó que el contrato emitía activos envueltos en Secret, conocidos como saTokens, sin validar el canal de origen de las transferencias entrantes. Esto permitió a un atacante crear una cadena Cosmos con un único validador, establecer una conexión IBC con el contrato y enviar paquetes falsificados con denominaciones de tokens aprobadas para recibir saTokens legítimos sin colateral. El ataque afectó a siete activos: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. De acuerdo con Common Prefix, el atacante canjeó estos activos a través de los canales legítimos de Axelar y retiró fondos mantenidos en custodia (escrow). Los investigadores rastrearon el origen del fallo hasta el despliegue inicial del contrato a comienzos de 2023. Una migración del 5 de marzo mantuvo las mismas comprobaciones de validación ausentes. El robo no se detectó hasta el 17 de junio, cuando una transferencia cross-chain rutinaria falló por falta de fondos suficientes en la cuenta de escrow. Secret Network señaló que los saldos cifrados dificultaron detectar el desfase y que las funciones encargadas de verificar las fuentes de las transferencias se eliminaron durante un rediseño anterior del contrato. Tras descubrirse el incidente, Axelar desactivó sus conexiones con Secret y SecretSNIP. El router cross-chain Squid también retiró Secret Network de su interfaz. Axelar afirmó que sus medidas de aislamiento evitaron que el problema se propagara más allá del contrato afectado y que no se vieron impactadas otras cadenas, cuentas de escrow, canales ni componentes de su protocolo principal. Common Prefix rastreó los activos sustraídos a través de Osmosis y Ethereum antes de que intervinieran exchanges y fuerzas de seguridad. Axelar indicó que continúa coordinándose con las partes pertinentes y mantiene la conexión afectada fuera de servicio.
Seleccionado
WBTC
WBTC+0.34%
USDC
USDC+0.01%
Descargo de responsabilidad: El contenido anterior es solo la opinión del autor y no representa la postura de BingX. No debe interpretarse como un consejo de inversión por parte de BingX. Para obtener más información, consulta los Términos y condiciones.