Aufrufe: 142
Audio
Teilen
Der Fehler ermöglichte es dem Angreifer, neue Token zu prägen, ohne dass entsprechende Sicherheiten hinterlegt wurden. Dazu nutzte er eine Schwachstelle bei der Verarbeitung eingehender Transaktionen aus. Nach Angaben von Common Prefix konnten so gedeckte Token erzeugt und anschließend gegen tatsächlich hinterlegte Vermögenswerte eingelöst werden.
Laut der Untersuchung reicht die Schwachstelle bis zur ursprünglichen Einführung des betroffenen Contracts Anfang 2023 zurück. Auch ein Update vom 5. März dieses Jahres übernahm die fehlerhafte Logik unverändert. Der eigentliche Angriff erfolgte am 10. Juni.
Um die Lücke auszunutzen, richtete der Angreifer eine eigene Cosmos-Blockchain mit nur einem Validator ein und eröffnete darüber einen Kommunikationskanal zum Bridge-Contract. Da dieser nicht überprüfte, aus welchem Kanal eingehende Daten tatsächlich stammten, konnte der Angreifer gefälschte Einzahlungen vortäuschen und darauf basierend neue saToken erstellen. Betroffen waren insgesamt sieben Token-Versionen, darunter saUSDT, saUSDC, saDAI, saWETH und saWBTC.
Dass die Vermögenswerte fehlten, fiel erst am 17. Juni auf. Eine reguläre Cross-Chain-Transaktion scheiterte, weil die hinterlegten Reserven nicht mehr ausreichten. Die Ermittlungen führten schließlich zu sieben verdächtigen Auszahlungen vom 10. Juni.
Secret Network erklärte, dass bei der Integration von Axelar frühere Prüfmechanismen entfernt worden seien. Zugleich kritisierte das Projekt fehlende Überwachungs- und Notfallmechanismen innerhalb der Bridge-Infrastruktur.
Axelar weist die Verantwortung zurück. Das Unternehmen betont, weder das eigene Protokoll noch das Inter-Blockchain-Communication-Protokoll (IBC) seien kompromittiert worden. Die Schwachstelle habe ausschließlich in dem betroffenen Smart Contract gelegen.
Hinweis: ARIVA.DE veröffentlicht in dieser Rubrik Analysen, Kolumnen und Nachrichten aus verschiedenen Quellen. Die ARIVA.DE AG ist nicht verantwortlich für Inhalte, die erkennbar von Dritten in den „News“-Bereich dieser Webseite eingestellt worden sind, und macht sich diese nicht zu Eigen. Diese Inhalte sind insbesondere durch eine entsprechende „von“-Kennzeichnung unterhalb der Artikelüberschrift und/oder durch den Link „Um den vollständigen Artikel zu lesen, klicken Sie bitte hier.“ erkennbar; verantwortlich für diese Inhalte ist allein der genannte Dritte.
