Cointelegraph ngày 22/6 đưa tin Secret Network đã bị khai thác lỗ hổng mint vô hạn trong một hợp đồng thông minh, khiến khoảng 4,67 triệu USD bị đánh cắp. Vụ tấn công xảy ra từ ngày 10/6 nhưng đến ngày 17/6 mới được phát hiện.

Theo công ty nghiên cứu blockchain Common Prefixes, dấu hiệu bất thường đầu tiên xuất hiện khi một giao dịch cross-chain thất bại do lỗi không đủ số dư tại địa chỉ rút tiền.

Nguyên nhân được xác định là hợp đồng thông minh không kiểm tra nguồn chuyển inbound trước khi thực hiện mint. Kẻ tấn công đã lợi dụng điểm yếu này để tạo ra saToken không có tài sản bảo chứng thông qua một kênh do chúng kiểm soát.

Sau đó, số saToken giả này được dùng để đổi lấy các token Axelar bridge thật đang được khóa trong escrow của kênh hợp lệ, qua đó rút tài sản ra ngoài.

Các tài sản bị đánh cắp gồm saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB và sawstETH.

Common Prefixes cho biết số tài sản bị đánh cắp sau đó được chuyển sang Ethereum, hoán đổi thành ether rồi phân tán qua khoảng 30 ví trước khi nạp lên các nền tảng như KuCoin, ChangeNOW và HitBTC.

Phía Secret Network cảnh báo rằng những người đang nắm giữ các token saXXX thuộc Axelar bridge trên Secret có thể bị ảnh hưởng, do tài sản bảo chứng cho các token này có khả năng đã phát sinh tổn thất. Token gốc SCRT không bị tác động bởi sự cố. Tuy nhiên, đồng tiền này hiện được giao dịch quanh mức 0,058 USD, thấp hơn 99% so với đỉnh thiết lập năm 2021.

Axelar khẳng định hệ thống của mình và giao thức IBC không bị xâm phạm. Dự án cho biết hợp đồng token bị lợi dụng trong vụ việc không do Axelar phát triển, triển khai hay quản lý. Theo Axelar, cơ chế bảo vệ của mạng lưới cũng đã ngăn thiệt hại lan sang các blockchain khác.