.png?width=288&height=144)
.png?width=288&height=144)
Ein Angreifer hat rund 4,67 Millionen US-Dollar über die Axelar-Bridge auf Secret Network entwendet. Wie aus einer am Freitag veröffentlichten Analyse des Forschungsunternehmens Common Prefix hervorgeht, blieb der Angriff sieben Tage lang unbemerkt. Betroffen war ein speziell angepasster Smart Contract, der für die Ausgabe sogenannter saToken zuständig ist.
Der Fehler ermöglichte es dem Angreifer, neue Token zu prägen, ohne dass entsprechende Sicherheiten hinterlegt wurden. Dazu nutzte er eine Schwachstelle bei der Verarbeitung eingehender Transaktionen aus. Nach Angaben von Common Prefix konnten so gedeckte Token erzeugt und anschließend gegen tatsächlich hinterlegte Vermögenswerte eingelöst werden.
Fehlende Prüfung öffnete Krypto-Angriffsvektor
Laut der Untersuchung reicht die Schwachstelle bis zur ursprünglichen Einführung des betroffenen Contracts Anfang 2023 zurück. Auch ein Update vom 5. März dieses Jahres übernahm die fehlerhafte Logik unverändert. Der eigentliche Angriff erfolgte am 10. Juni.
Um die Lücke auszunutzen, richtete der Angreifer eine eigene Cosmos-Blockchain mit nur einem Validator ein und eröffnete darüber einen Kommunikationskanal zum Bridge-Contract. Da dieser nicht überprüfte, aus welchem Kanal eingehende Daten tatsächlich stammten, konnte der Angreifer gefälschte Einzahlungen vortäuschen und darauf basierend neue saToken erstellen. Betroffen waren insgesamt sieben Token-Versionen, darunter saUSDT, saUSDC, saDAI, saWETH und saWBTC.
Entdeckung erst nach fehlgeschlagener Transaktion
Dass die Vermögenswerte fehlten, fiel erst am 17. Juni auf. Eine reguläre Cross-Chain-Transaktion scheiterte, weil die hinterlegten Reserven nicht mehr ausreichten. Die Ermittlungen führten schließlich zu sieben verdächtigen Auszahlungen vom 10. Juni.
Secret Network erklärte, dass bei der Integration von Axelar frühere Prüfmechanismen entfernt worden seien. Zugleich kritisierte das Projekt fehlende Überwachungs- und Notfallmechanismen innerhalb der Bridge-Infrastruktur.
Axelar weist die Verantwortung zurück. Das Unternehmen betont, weder das eigene Protokoll noch das Inter-Blockchain-Communication-Protokoll (IBC) seien kompromittiert worden. Die Schwachstelle habe ausschließlich in dem betroffenen Smart Contract gelegen.
