Bridge da Secret Network sofre exploração de US$ 4,7 milhões por bug de emissão infinita

Um invasor explorou uma falha de “emissão infinita” em um contrato inteligente vulnerável da Secret Network para criar versões wrapped sem lastro de ativos encapsulados pela Axelar, resultando em um ataque que causou perdas de US$ 4,67 milhões.

O exploit ocorreu em 10 de junho, mas só foi descoberto uma semana depois, na quarta-feira, após a detecção de uma transação cross-chain malsucedida causada por um erro de “fundos insuficientes” na conta drenada, publicou na sexta-feira a empresa de pesquisa blockchain Common Prefix.

O invasor resgatou os ativos wrapped da Axelar (saTokens) por canais legítimos para drenar os verdadeiros ativos Axelar mantidos em custódia (escrow), porque o contrato inteligente não verificava a origem da transferência recebida antes de cunhar os tokens. Assim, “depósitos forjados por meio de um canal controlado pelo atacante cunharam saTokens genuínos sem qualquer ativo lastreando-os”, explicou a Common Prefix.

Este é o mais recente de uma série de hacks e explorações contra protocolos cripto neste mês, que já somam pelo menos 22 incidentes, segundo a DeFiLlama. O ataque à Secret Network foi um dos maiores, atrás apenas do Humanity Protocol e da Syscoin Bridge, que perderam US$ 32 milhões e US$ 8 milhões, respectivamente, no início deste mês.

A Secret Network é uma blockchain de camada 1 focada em privacidade, construída no ecossistema Cosmos, enquanto a Axelar é uma rede descentralizada de interoperabilidade que conecta diferentes ecossistemas blockchain.

Os ativos wrapped da Axelar cunhados sem lastro durante o exploit incluíram saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB e sawstETH.

O invasor moveu os ativos explorados para a blockchain Ethereum e os converteu em Ether (ETH). Em seguida, dividiu os fundos entre cerca de 30 carteiras, depositando posteriormente os valores em corretoras como KuCoin, ChangeNow e HitBTC, segundo a Common Prefix.

“Se você possui tokens saXXX bridgeados via Axelar na Secret, esteja ciente de que o lastro deles foi afetado e seus fundos podem ter sido perdidos”, disse a Secret Network no sábado.

O token da Secret Network, SCRT, não foi impactado pelo incidente, mas segue acumulando queda de 99% em relação à máxima histórica de 2021, sendo negociado atualmente a US$ 0,058. O token nativo da Axelar, AXL, está em situação semelhante, cotado a US$ 0,045, com queda de 98% em relação ao pico de 2024.

A Axelar publicou um esclarecimento no sábado após “alguma confusão” em torno do incidente.

“Nem a Axelar nem o IBC (Inter-Blockchain Communication) foram comprometidos. O contrato inteligente explorado não foi desenvolvido, implantado ou mantido pela Axelar. O sistema de isolamento da Axelar impediu que o impacto se espalhasse para outras blockchains”, afirmou a empresa.