Le pont Axelar de Secret Network a perdu environ 4,67 millions de dollars le 10 juin lors d’une exploitation, non détectée jusqu’au 17 juin. D’après un rapport postmortem publié vendredi par le cabinet de recherche blockchain Common Prefix, l’attaquant a exploité une faille dans un contrat de jetons CW20-ICS20 personnalisé qui ne validait pas d’où provenaient les transferts entrants, permettant la création de jetons Secret-wrapped non adossés. La vulnérabilité existait depuis le déploiement initial du contrat au début de 2023, et l’écart de détection de sept jours s’est produit parce que le chiffrement par défaut des soldes de Secret Network masquait à la chaîne le manque de collatéral.
Attacker Exploited Missing Channel Validation in Custom Token Contract
L’exploitation ciblait un contrat CW20-ICS20 modifié sur Secret Network, qui gère les actifs transférés depuis Axelar. Le contrat a émis des versions Secret-wrapped d’actifs Axelar-wrapped, appelés saTokens, sans vérifier de quelle chaîne provenait un transfert entrant. L’attaquant a créé une chaîne Cosmos à validateur unique, a ouvert une chaîne IBC vers le contrat de pont, puis s’est auto-relayé des paquets falsifiés portant des dénominations de jetons correspondant à la liste d’autorisation du contrat. Le contrat ne pouvait pas distinguer ces dénominations de celles arrivant via la chaîne légitime d’Axelar, et a émis des saTokens contre elles. Le rachat des soldes émis via la chaîne Axelar légitime a libéré les actifs réels détenus en escrow. Le détournement a touché sept saTokens : saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB et sawstETH, selon Common Prefix.
Vulnerability Existed Since Early 2023 Deployment
Common Prefix a attribué la vulnérabilité au déploiement initial du contrat au début de 2023. Une migration du 5 mars qui a mis à jour le bytecode pour de nouvelles fonctionnalités a reporté les mêmes contrôles manquants, et l’attaque du 10 juin a frappé ce code migré. Dans son post sur le forum, Secret Network a indiqué que le contrat de pont avait été adapté d’un modèle d’escrow vers un modèle de mint pour l’intégration Axelar, et que les deux fonctions qui auraient validé la source d’un transfert ont été supprimées lors de cette refonte. Secret Network a ajouté qu’aucun audit externe n’avait été demandé par Axelar dans le cadre de l’intégration. Le manque a été mis en évidence le 17 juin, lorsqu’un transfert inter-chaînes normal sur Axelar a échoué avec une erreur montrant que le compte escrow ne détenait plus assez pour le couvrir. Les enquêteurs ont relié l’écart à sept retraits effectués le 10 juin.
Axelar Disabled Secret Connections After Discovery
Le comité d’urgence d’Axelar a désactivé les connexions Secret et Secret-SNIP après la découverte, et le routeur inter-chaînes Squid a retiré Secret de son interface. Axelar a déclaré que son protocole de base n’avait jamais été affecté et qu’aucune autre chaîne, chaîne IBC ou compte escrow n’avait été touché. L’équipe Secret a été informée d’arrêter et de migrer le contrat concerné. Dans un post de suivi, Axelar a déclaré : « Ni Axelar ni IBC n’ont été compromis. Le contrat intelligent de jeton exploité n’a pas été développé, déployé ou maintenu par Axelar. » L’équipe a indiqué que la faille ne se trouvait ni dans la logique spécifique d’Axelar, ni dans IBC lui-même.
Approximately $672,000 Remained in Attacker's Wallet at Publication Time
Secret Network a indiqué, dans son post sur le forum, qu’environ 770 000 dollars des fonds volés restaient dans le portefeuille de l’attaquant sur Axelar au moment de la publication. Secret Network a déclaré qu’il a identifié ces actifs, les a signalés comme récupérables, et a adressé une demande à l’équipe d’Axelar afin de les geler ou de travailler avec sa communauté pour le faire, « une demande qu’ils ont décidé de ne pas poursuivre ». Axelar a déclaré séparément qu’il coordonnait avec des exchanges et les forces de l’ordre, et n’a fourni aucun calendrier pour rétablir la connexion. Des données Axelarscan consultées par The Block ont montré que le portefeuille Axelar de l’attaquant détenait encore 6,2 WBTC, 239 324 USDC, 64,04 WBNB et 248,85 AXL, soit environ 672 000 dollars aux prix au moment de la publication.
Stolen Funds Moved Through Osmosis to Ethereum Exchanges
Les traçages de Common Prefix montrent que l’attaquant a retiré les actifs volés vers Axelar, les a acheminés via Osmosis en utilisant l’acheminement automatique de paquets, puis les a bridgés vers Ethereum et les a majoritairement échangés contre de l’ether sur CoW Protocol. L’ether a été divisé en environ 30 transferts vers de nouveaux portefeuilles avant d’atterrir dans des adresses de dépôt à KuCoin, ChangeNow et HitBTC. Les deux tokens ont vu leur prix augmenter au cours des 24 dernières heures malgré la divulgation. L’A XL d’Axelar était en hausse d’environ 1,3 %, tandis que le SCRT de Secret était en hausse de 5,6 % au cours de la journée précédente au moment de la publication.
FAQ
Qu’est-ce qui a causé l’exploitation du pont de 4,67 millions de dollars de Secret Network le 10 juin ?
L’exploitation s’est produite parce qu’un contrat de jeton CW20-ICS20 personnalisé sur Secret Network n’a pas réussi à valider de quelle chaîne provenaient les transferts entrants. L’attaquant a créé une chaîne Cosmos à validateur unique, a ouvert une chaîne IBC vers le contrat de pont, puis s’est auto-relayé des paquets falsifiés que le contrat a acceptés comme légitimes, émettant des saTokens non adossés qui ont ensuite été rachetés contre des actifs réels détenus en escrow.
Combien de temps la vulnérabilité a-t-elle existé avant l’attaque du 10 juin ?
Common Prefix a attribué la vulnérabilité au déploiement initial du contrat au début de 2023. Une migration du 5 mars qui a mis à jour le bytecode pour de nouvelles fonctionnalités a reporté les mêmes contrôles manquants, et l’attaque du 10 juin a exploité ce code migré.
Quelle part des fonds volés restait récupérable au moment de la publication ?
Les données Axelarscan consultées par The Block ont montré que le portefeuille Axelar de l’attaquant détenait 6,2 WBTC, 239 324 USDC, 64,04 WBNB et 248,85 AXL, soit environ 672 000 dollars aux prix au moment de la publication. Secret Network a déclaré qu’il avait demandé à Axelar de geler ces actifs, une demande qu’Axelar a refusé de poursuivre.
