据Cointelegraph 22日 报道,Secret Network一份存在校验缺陷的智能合约近日遭到利用,攻击者借助“无限铸造漏洞”盗走约467万美元资产。该事件发生在6月10日,但直到6月17日才被发现。
区块链研究机构Common Prefix表示,事件曝光的直接原因是,相关转出地址在跨链交易过程中出现“余额不足”报错,导致交易失败,异常由此浮出水面。
根据Common Prefix披露的信息,问题出在合约在铸造代币前,未对入站转账来源进行校验。攻击者借此通过其控制的通道,在没有真实资产支撑的情况下伪造saToken。随后,这些伪造的Axelar封装资产(saToken)又被按正常流程兑换为托管合约中的真实Axelar封装资产,最终被转出。
此次被盗资产包括saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和saWstETH。
Common Prefix称,攻击者随后将相关资产转移至以太坊,并兑换为ETH,再分散转入约30个钱包地址,最终流入KuCoin、ChangeNOW、HitBTC等交易所。
Secret Network警告称,若用户在Secret侧持有Axelar跨链桥发行的saXXX代币,相关代币背后的抵押资产已受到影响,相关资金可能已出现损失。
不过,Secret原生代币SCRT未直接受到此次事件影响。数据显示,SCRT目前报0.058美元,较2021年历史高点已下跌99%。
Axelar方面则表示,Axelar网络及IBC本身并未遭到入侵;此次被利用的代币智能合约也并非由Axelar开发、部署或管理。此外,Axelar防火墙已阻止损失进一步向其他链扩散。
记者信息
Chi-gyu Hwang (황치규)
delight@d-today.co.kr