Cầu nối Axelar của Secret Network đã mất khoảng 4,67 triệu USD vào ngày 10/6 do một lỗ hổng bị khai thác mà không bị phát hiện cho đến ngày 17/6. Theo bản hậu kiểm (postmortem) được công bố vào thứ Sáu bởi công ty nghiên cứu blockchain Common Prefix, kẻ tấn công đã lợi dụng một điểm yếu trong hợp đồng token tùy chỉnh CW20-ICS20 không kiểm tra được các chuyển tiền đi vào xuất phát từ kênh nào, qua đó cho phép tạo ra các token được bọc Secret nhưng không có tài sản bảo chứng. Lỗ hổng đã tồn tại kể từ khi hợp đồng được triển khai ban đầu vào đầu năm 2023, và khoảng trống phát hiện trong 7 ngày xảy ra vì mã hóa mã số dư mặc định của Secret Network đã che giấu khoản tài sản bảo chứng bị thiếu trên chuỗi.
Kẻ tấn công lợi dụng việc thiếu kiểm thực kênh trong hợp đồng token tùy chỉnh
Cuộc tấn công nhắm vào một hợp đồng CW20-ICS20 đã được chỉnh sửa trên Secret Network, hợp đồng này xử lý các tài sản được bắc qua từ Axelar. Hợp đồng đã đúc (mint) các phiên bản Secret-wrapped của các tài sản đã được bọc qua Axelar, được gọi là saTokens, mà không kiểm tra chuyển tiền đi vào bắt nguồn từ kênh nào. Kẻ tấn công tạo một chuỗi Cosmos chỉ có một bộ xác thực, mở một kênh IBC tới hợp đồng cầu nối và tự chuyển tiếp (self-relayed) các gói tin đã bị giả mạo mang các định danh token khớp với danh sách cho phép (allow-list) của hợp đồng. Hợp đồng không thể phân biệt các định danh này với những định danh đến từ kênh hợp pháp của Axelar và đã đúc saTokens dựa trên chúng. Việc đổi (redeeming) các số dư đã đúc trở lại qua kênh Axelar hợp pháp đã giải phóng các tài sản thực sự được giữ trong tài khoản ký quỹ (escrow). Đợt rút cạn đã ảnh hưởng đến 7 saTokens: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB và sawstETH, theo Common Prefix.
Lỗ hổng đã tồn tại từ khi triển khai đầu năm 2023
Common Prefix truy vết lỗ hổng về lần triển khai ban đầu của hợp đồng vào đầu năm 2023. Một lần di trú (migration) ngày 5/3 cập nhật bytecode cho các tính năng mới đã mang theo luôn các kiểm tra bị thiếu, và cuộc tấn công ngày 10/6 đánh trúng chính phần mã đã di trú này. Trong bài đăng trên diễn đàn, Secret Network cho biết hợp đồng cầu nối đã được điều chỉnh từ mô hình ký quỹ sang mô hình đúc (mint) cho phần tích hợp Axelar, và hai hàm đáng lẽ phải xác thực nguồn của một giao dịch đã bị loại bỏ trong lần tái cấu trúc đó. Secret Network cũng cho biết Axelar đã không yêu cầu một cuộc kiểm toán độc lập nào như một phần của quá trình tích hợp. Thiếu hụt được phát hiện vào ngày 17/6 khi một chuyển tiền cross-chain thông thường trên Axelar thất bại kèm lỗi cho thấy tài khoản ký quỹ không còn giữ đủ để chi trả. Các điều tra viên truy ra khoảng trống này từ 7 lần rút đã được thực hiện vào ngày 10/6.
Axelar đã tắt các kết nối tới Secret sau khi phát hiện
Ủy ban khẩn cấp của Axelar đã tắt các kết nối Secret và Secret-SNIP sau khi phát hiện, và bộ định tuyến cross-chain Squid đã xóa Secret khỏi trang giao diện (frontend). Axelar cho biết giao thức lõi của họ không bị ảnh hưởng và không có chuỗi, kênh hoặc tài khoản ký quỹ nào khác bị tác động. Nhóm Secret đã được thông báo để dừng và di trú hợp đồng bị ảnh hưởng. Trong một bài đăng tiếp theo, Axelar nêu: “Không Axelar hay IBC bị xâm phạm. Hợp đồng thông minh token bị khai thác không được phát triển, triển khai hoặc duy trì bởi Axelar.” Nhóm cho biết lỗ hổng không nằm ở logic riêng của Axelar hay ở chính IBC.
Khoảng 672.000 USD vẫn còn trong ví của kẻ tấn công tại thời điểm công bố
Secret Network cho biết trong bài đăng trên diễn đàn rằng khoảng 770.000 USD trong số tiền bị đánh cắp vẫn nằm trong ví của kẻ tấn công trên Axelar tại thời điểm bài viết được đăng. Secret Network cho biết họ đã xác định các tài sản đó, gắn cờ là có thể thu hồi, và kiến nghị nhóm Axelar đóng băng chúng hoặc phối hợp với cộng đồng của Axelar để làm việc đó, “một yêu cầu họ đã quyết định không theo đuổi.” Về phần mình, Axelar cho biết họ đang phối hợp với các sàn giao dịch và cơ quan thực thi pháp luật nhưng chưa đưa ra mốc thời gian để khôi phục kết nối. Dữ liệu Axelarscan do The Block xem được cho thấy ví Axelar của kẻ tấn công vẫn giữ 6,2 WBTC, 239.324 USDC, 64,04 WBNB và 248,85 AXL, trị giá xấp xỉ 672.000 USD theo giá tại thời điểm công bố.
Tiền bị đánh cắp được chuyển qua Osmosis tới các sàn Ethereum
Hoạt động truy vết của Common Prefix cho thấy kẻ tấn công đã rút các tài sản bị đánh cắp về Axelar, chuyển chúng qua Osmosis bằng cơ chế chuyển tiếp gói tin tự động, rồi bắc sang Ethereum và chủ yếu hoán đổi lấy ether trên CoW Protocol. Ether sau đó được chia thành khoảng 30 lần chuyển tới các ví mới trước khi cập bến các địa chỉ nạp tiền tại KuCoin, ChangeNow và HitBTC. Cả hai token đều ghi nhận mức tăng giá trong 24 giờ qua bất chấp thông tin công bố. AXL của Axelar tăng khoảng 1,3%, trong khi SCRT của Secret tăng 5,6% so với ngày trước tại thời điểm bài viết được đăng.
FAQ
Điều gì gây ra vụ khai thác cầu nối trị giá 4,67 triệu USD của Secret Network vào ngày 10/6?
Cuộc khai thác xảy ra vì một hợp đồng token tùy chỉnh CW20-ICS20 trên Secret Network không xác thực được các chuyển tiền đi vào bắt nguồn từ kênh nào. Kẻ tấn công tạo một chuỗi Cosmos chỉ có một bộ xác thực, mở một kênh IBC tới hợp đồng cầu nối và tự chuyển tiếp các gói tin bị giả mạo mà hợp đồng chấp nhận là hợp lệ, từ đó đúc ra các saTokens không có bảo chứng rồi được đổi lấy các tài sản thực sự được giữ trong tài khoản ký quỹ.
Lỗ hổng tồn tại trong bao lâu trước cuộc tấn công ngày 10/6?
Common Prefix truy vết lỗ hổng về lần triển khai ban đầu của hợp đồng vào đầu năm 2023. Một lần di trú ngày 5/3 cập nhật bytecode cho các tính năng mới đã mang theo luôn các kiểm tra bị thiếu, và cuộc tấn công ngày 10/6 đã khai thác phần mã đã di trú đó.
Bao nhiêu trong số tiền bị đánh cắp vẫn có thể thu hồi tại thời điểm công bố?
Dữ liệu Axelarscan do The Block xem cho thấy ví Axelar của kẻ tấn công nắm giữ 6,2 WBTC, 239.324 USDC, 64,04 WBNB và 248,85 AXL, trị giá xấp xỉ 672.000 USD theo giá tại thời điểm công bố. Secret Network cho biết họ đã kiến nghị Axelar đóng băng các tài sản này, nhưng Axelar đã từ chối theo đuổi yêu cầu đó.
