![Sun [New]](https://s2.coinmarketcap.com/static/img/coins/64x64/10529.png)
Secret Network Axelar exploit, bir saldırganın savunmasız bir token sözleşmesini kötüye kullanmasının ardından yaklaşık 4,67 milyon dolar kayba yol açtı. Saldırı 10 Haziran’da gerçekleşti. İlgili emanet hesabında yeterli fon bulunmadığı için zincirler arası bir transfer başarısız olunca, olay bir hafta sonra ortaya çıktı.
Common Prefix, saldırganın saToken olarak adlandırılan teminatsız Axelar sarılı varlıklar bastığını söyledi. Bu tokenler daha sonra normal kanallar üzerinden, emanette tutulan gerçek varlıklar karşılığında kullanıldı.
Secret Network Axelar Exploit Fonları Ethereum Üzerinden Taşıdı
Etkilenen varlıklar arasında saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB ve sawstETH yer aldı. Saldırgan, varlıkları Ethereum’a köprülemeden önce Axelar ve Osmosis üzerinden taşıdı.
Common Prefix’e göre varlıkların çoğu CoW Protocol üzerinden Ether’e dönüştürüldü. Bazı transferler daha sonra KuCoin, ChangeNow ve HitBTC’deki yatırma adreslerine ulaştı.
Secret Network Axelar exploit, uygulama düzeyindeki bir sözleşmeyle bağlantılıydı. Axelar, ana protokolünün ve Inter-Blockchain Communication yani IBC’nin tehlikeye atılmadığını söyledi.
Secret Network, Cosmos ekosistemi içinde yer alan gizlilik odaklı bir Layer 1 ağıdır. Axelar ise zincirler arası transferler için blokzincirleri birbirine bağlar. Axelar, savunmasız sözleşmenin kendi ekibi tarafından geliştirilmediğini, dağıtılmadığını veya yönetilmediğini belirtti.
Eksik Kontrol Teminatsız Tokenler Oluşturdu
Sözleşme, saToken basmadan önce gelen transferin kaynağını doğrulamadı. Saldırganın kontrol ettiği bir kanal sahte yatırma işlemleri gönderebildi. Sözleşme daha sonra karşılığında teminat bulunmayan tokenler çıkardı.
Saldırgan, teminatsız varlıkları emanette bulunan gerçek Axelar sarılı tokenler karşılığında kullandı. Secret Network Axelar exploit, temel ağ güvenli kalsa bile sözleşme açıklarının köprü kayıplarına yol açabileceğini gösterdi.
Secret Network, köprü tasarımının emanet modelinden basım modeline geçtiğini söyledi. Bu değişiklik sırasında transfer kaynaklarını kontrol eden iki fonksiyon kaldırıldı. Ekip ayrıca entegrasyon için Axelar tarafından harici bir denetim talep edilmediğini belirtti.
Gizlilik Katmanı Keşfi Geciktirdi
Secret Network, bakiyeleri varsayılan olarak şifreler. Bu durum, eksik teminatın Ethereum’daki görünür bir havuz boşaltımı kadar kolay fark edilmesini engelledi. Açık, 17 Haziran’da rutin bir transfer başarısız olduktan sonra ortaya çıktı.
Araştırmacılar, açığı 10 Haziran’da yapılan yedi çekim işlemine kadar takip etti. Secret Network Axelar exploit saldırı sırasında tespit edilmedi. Secret Network, izleme ve acil durdurma sistemlerinin transferleri engellemediğini söyledi.
Axelar ise olayın kendi ana altyapısından kaynaklandığı yönündeki iddiaları reddetti. Şirket, açığın Axelar’a özgü mantığın ve IBC’nin dışında olduğunu belirtti.
Axelar ve Squid Bağlantıları Devre Dışı Bıraktı
Axelar’ın acil durum komitesi, olayın ortaya çıkmasının ardından Secret ve Secret-SNIP bağlantılarını devre dışı bıraktı. Zincirler arası yönlendirici Squid de Secret’ı arayüzünden kaldırdı. Axelar, başka hiçbir zincirin, kanalın veya emanet hesabının etkilenmediğini söyledi.
Secret Network, geri alınabilir varlıkları tespit ettiğini ve Axelar’dan kalan fonları dondurmasını istediğini açıkladı. Forum gönderisinde, Axelar’ın bu talebi takip etmediği belirtildi. Axelar ise borsalar ve kolluk kuvvetleriyle koordinasyon içinde olduğunu söyledi.
The Block tarafından aktarılan daha sonraki Axelarscan verileri, saldırganın cüzdanında WBTC, USDC, WBNB ve AXL cinsinden yaklaşık 672.000 dolar bulunduğunu gösterdi.
Hata 2023’ten Beri Mevcuttu
Common Prefix, eksik doğrulama kontrolünü sözleşmenin 2023 başındaki ilk dağıtımına kadar izledi. 5 Mart’taki bir geçiş yeni özellikler ekledi ancak açığı korudu. 10 Haziran’daki saldırgan bu güncellenmiş kodu hedef aldı.
Secret Network Axelar exploit, DeFiLlama’nın ay boyunca kaydettiği en az 22 protokol saldırısından biri oldu.
SCRT ve AXL Doğrudan Etkilenmedi
Secret Network, SCRT tokeninin olaydan doğrudan etkilenmediğini söyledi. AXL de savunmasız sözleşmenin bir parçası değildi. Aktarılan piyasa verilerine göre, açıklamanın ardından her iki token de değer kazandı.
Bu fiyat hareketi, saToken sahipleri için riskleri ortadan kaldırmıyor. Secret Network, etkilenen varlıkların artık tam teminata sahip olmayabileceğini söyledi.
Sonuç
Secret Network Axelar exploit, bir basım sözleşmesindeki eksik kaynak kontrolünden kaynaklandı. Sahte yatırmalar, teminatsız ancak kullanılabilir tokenlerin oluşturulmasına yol açtı. Axelar, ana protokolünün tehlikeye atılmadığını söyledi. Ancak olay, sözleşme tasarımı ve izleme sistemlerindeki önemli boşlukları ortaya çıkardı.
Ek: Temel Terimler Sözlüğü
Köprü: Tokenleri veya verileri ayrı blokzincir ağları arasında taşıyan sistemdir.
Emanet: Sarılı tokenleri desteklemek veya transferleri tamamlamak için rezervde tutulan varlıklardır.
Sonsuz Basım Hatası: Uygun teminat olmadan yetkisiz token üretimine izin veren yazılım açığıdır.
Inter-Blockchain Communication (IBC): Cosmos ekosistemindeki blokzincirler arası iletişim standardıdır.
saTokenler: Secret Network üzerinde kullanım için çıkarılan Axelar sarılı varlıklardır.
Akıllı Sözleşme: Önceden belirlenmiş kurallara göre çalışan, kendi kendini yürüten blokzincir kodudur.
Sarılı Varlık: Başka bir blokzincirdeki varlığı temsil eden tokendir.
Secret Network Axelar Exploit Hakkında Sık Sorulan Sorular
1. Secret Network Axelar exploit olayına ne sebep oldu?
Bir sözleşme, gelen transferleri kontrol etmeden saToken bastı. Saldırgan, bu teminatsız tokenleri gerçek emanet varlıklarıyla değiştirdi.
2. Ne kadar çalındı?
Bildirilen kayıp yaklaşık 4,67 milyon dolardı.
3. Axelar’ın ana ağı tehlikeye girdi mi?
Hayır. Axelar, ana protokolünün ve IBC’nin tehlikeye atılmadığını söyledi.
4. Hangi varlıklar etkilendi?
Etkilenen tokenler saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB ve sawstETH idi.
