ผู้โจมตีใช้ช่องโหว่การตรวจสอบช่องทาง (channel validation) ที่ขาดหายไปในสัญญาสะพาน (bridge) CW20-ICS20 ที่ถูกปรับแต่งของ Secret Network เพื่อระบายเงินออกไปประมาณ 4.67 ล้านดอลลาร์ในวันที่ 10 มิถุนายน การโจมตีดังกล่าวไม่ถูกตรวจพบจนถึงวันที่ 17 มิถุนายน เมื่อการโอนข้ามสายพานล้มเหลวเนื่องจากสินทรัพย์ในที่วาง (escrow) ถูกใช้หมด ผู้โจมตีใช้เชน Cosmos แบบตัวตรวจสอบ (validator) เดียวในการปลอมแปลงเดพอสิตและทำการมินต์โทเค็นที่ถูกห่อด้วย Secret (Secret-wrapped) โดยไม่มีสินทรัพย์จริงมารองรับ ส่งผลกระทบต่อโทเค็น 7 รายการ รวมถึง saUSDT, saUSDC และ saDAI

ช่องโหว่นี้มีอยู่ตั้งแต่การใช้งานสัญญาครั้งแรกในช่วงต้นปี 2023 และไม่ได้ถูกแก้ไขในการย้ายระบบ (migration) วันที่ 5 มีนาคม Secret Network ระบุว่าการตรวจพบที่ล่าช้าเกิดจากยอดคงเหลือที่ถูกเข้ารหัสบนเครือข่าย ซึ่งทำให้ไม่สามารถมอนิเตอร์การขาดหลักประกันที่เห็นได้ชัด นำเงินที่ถูกขโมยไปไปยัง Axelar จากนั้นส่งต่อผ่าน Osmosis ไปยัง Ethereum และทำการสลับเป็น ether ผ่าน CoW Protocol ก่อนที่จะแยกออกเป็นเดพอสิตที่ KuCoin, ChangeNow และ HitBTC ประมาณ 672,000 ดอลลาร์ยังคงอยู่ในวอลเล็ต Axelar ของผู้โจมตี คณะกรรมการฉุกเฉินของ Axelar ปิดการเชื่อมต่อที่ได้รับผลกระทบ และกล่าวว่าโปรโตคอลหลักของตนไม่ได้ถูกบุกรุก

news.view.source

news.article.disclaimer

news.related.news

2 ชั่วโมง ที่แล้ว

Jaredfromsubway.eth โดนขโมยจากบอท MEV มูลค่า 7.5 ล้านดอลลาร์ ในการตอบโต้กลับ

12 ชั่วโมง ที่แล้ว

นักพัฒนา MEV Bot JaredFromSubway สูญเสีย $15M จากการโจมตีของแฮกเกอร์เมื่อวันที่ 21 มิถุนายน

12 ชั่วโมง ที่แล้ว

เครือข่าย Axelar ประสบเหตุเอ็กซ์พลอยต์ เงินโทเค็นมูลค่า 4.67 ล้านดอลลาร์สหรัฐ ถูกขโมยผ่านบริดจ์แบบลับ

12 ชั่วโมง ที่แล้ว

หุ่นยนต์ MEV ของ Ethereum JaredFromSubway สูญเสีย 7.5 ล้านดอลลาร์จากการโจมตีที่ใช้ประโยชน์จากกลไกการทำงานอัตโนมัติแบบสั่งให้รันทันที

14 ชั่วโมง ที่แล้ว