Seit 2023 verwundbar: Hacker erbeutet 4,67 Millionen US Dollar
Ein Angreifer hat über die Axelar Bridge auf Secret Network rund 4,67 Millionen US Dollar entwendet. Nach einer Analyse des Forschungsunternehmens Common Prefix blieb der Angriff sieben Tage lang unbemerkt. Betroffen war ein speziell angepasster Smart Contract für die Ausgabe sogenannter saToken.
Der Fehler ermöglichte es, neue Token ohne hinterlegte Sicherheiten zu prägen. Dafür nutzte der Angreifer eine Schwachstelle bei der Verarbeitung eingehender Transaktionen aus und konnte gedeckte Token erzeugen, die anschließend gegen tatsächlich hinterlegte Vermögenswerte eingelöst wurden. Betroffen waren sieben Token Versionen, darunter saUSDT, saUSDC, saDAI, saWETH und saWBTC.
Die Schwachstelle reicht nach der Untersuchung bis zur Einführung des Contracts Anfang 2023 zurück. Ein Update vom 5. März dieses Jahres übernahm die fehlerhafte Logik unverändert. Der Angriff erfolgte am 10. Juni und fiel erst am 17. Juni auf, als eine reguläre Cross Chain Transaktion scheiterte. Secret Network kritisierte fehlende Kontroll und Notfallmechanismen, während Axelar die Verantwortung zurückwies.
