Cryptohack van $4,7 miljoen treft Secret Network

Het privacygerichte blockchainproject Secret Network is getroffen door een grote exploit waarbij voor ongeveer 4,67 miljoen dollar aan cryptovaluta werd buitgemaakt. De aanval was mogelijk door een kwetsbaarheid in een smart contract dat gekoppeld was aan interoperabiliteitsprotocol Axelar. Daardoor kon een aanvaller onbeperkt nieuwe tokens creëren en deze vervolgens inwisselen voor echte crypto-activa.

De exploit werd al op 10 juni uitgevoerd, maar bleef dagenlang onopgemerkt. Pas nadat een cross-chain transactie mislukte vanwege een tekort aan reserves, kwam de aanval aan het licht.

Aanvaller kon onbeperkt tokens creëren

Uit onderzoek van blockchainbeveiligingsbedrijf Common Prefix blijkt dat de hacker misbruik maakte van een zogenoemde infinite mint-bug. Dit type kwetsbaarheid maakt het mogelijk om onbeperkt nieuwe tokens aan te maken zonder dat daar daadwerkelijk onderliggende waarde tegenover staat.

De fout zat in een smart contract dat werd gebruikt voor de uitgifte van wrapped assets via Axelar. Normaal gesproken worden dergelijke tokens alleen uitgegeven wanneer er echte crypto-activa als onderpand worden vastgezet.

In dit geval controleerde het contract echter niet of een storting afkomstig was van een geldige bron. Daardoor kon de aanvaller vervalste stortingen simuleren en alsnog geldige tokens ontvangen.

Deze tokens werden vervolgens ingewisseld voor echte activa die als reserve waren opgeslagen. Op die manier wist de hacker miljoenen dollars aan onderpand uit het protocol weg te sluizen.

Meerdere tokens en blockchains getroffen

De exploit trof verschillende op Axelar gebaseerde activa, waaronder saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB en sawstETH.

Volgens Common Prefix werden de buitgemaakte tegoeden daarna verplaatst naar het Ethereum-netwerk. Daar werden de tokens omgezet naar Ether (ETH), waarna de opbrengst werd verdeeld over ongeveer dertig verschillende wallets.

Uiteindelijk kwamen de fondsen terecht op diverse cryptobeurzen, waaronder KuCoin, ChangeNow en HitBTC.

Secret Network waarschuwt gebruikers

Secret Network heeft gebruikers inmiddels gewaarschuwd dat de dekking achter de getroffen tokens niet langer volledig aanwezig is. Dat betekent dat houders van deze activa mogelijk verliezen kunnen lijden.

Volgens het netwerk moeten bezitters van via Axelar uitgegeven saXXX-tokens er rekening mee houden dat een deel van de onderliggende reserves verdwenen is.

Het native token van het netwerk, SCRT, werd niet direct getroffen door de aanval. Toch komt het incident op een gevoelig moment. De SCRT-koers staat nog altijd ongeveer 99 procent onder het recordniveau dat tijdens de bullmarkt van 2021 werd bereikt.

Axelar wijst naar kwetsbaar smart contract

Na het bekend worden van de exploit ontstond verwarring over de rol van Axelar. Het interoperabiliteitsprotocol benadrukte daarop dat zijn eigen infrastructuur niet werd gehackt.

Volgens Axelar lag de oorzaak volledig bij het kwetsbare smart contract dat niet door het bedrijf werd ontwikkeld, uitgerold of onderhouden. Het protocol stelt bovendien dat de eigen beveiligingsarchitectuur heeft voorkomen dat de schade zich verder verspreidde naar andere blockchains.

Het incident laat opnieuw zien hoe kwetsbaar smart contracts kunnen zijn. Een enkele programmeerfout kan voldoende zijn om miljoenen dollars aan reserves bloot te stellen.

De aanval op Secret Network behoort inmiddels tot de grootste cryptohacks van deze maand. Volgens gegevens van DeFiLlama vonden er in juni al meer dan twintig hacks en exploits plaats binnen de cryptosector. Eerder werden ook Humanity Protocol en Syscoin Bridge getroffen, waarbij respectievelijk ongeveer 32 miljoen dollar en 8 miljoen dollar verloren gingen.