Bir saldırgan, hiçbir teminatı olmayan token’lar basan hatalı bir sözleşmeden yararlanarak, Axelar (AXL) ile bağlantılı Secret (SCRT) köprüsünden yaklaşık 4,67 milyon dolar çekti.
Öne Çıkan Noktalar:
- Hatalı bir Secret Network sözleşmesi, saldırgana teminatsız token basma ve yaklaşık 4,67 milyon dolar çekme imkânı verdi.
- Hırsızlık, başarısız bir transfer boş emanet hesabını ortaya çıkarana kadar yedi gün boyunca gizli kaldı.
- Axelar, etkilenen bağlantıları devre dışı bıraktı ve çekirdek protokolüne hiç dokunulmadığını açıkladı.
Secret Network Köprüsü Milyonlar Kaybetti
Hırsızlık 10 Haziran’da başladı ancak Secret varsayılan olarak bakiyeleri şifrelediği ve eksik teminat zincirde görünmediği için yedi gün boyunca fark edilmedi. Durum ancak 17 Haziran’da, rutin bir zincirler arası transfer, emanet hesabı tamamen boşaldığı için başarısız olunca ortaya çıktı. Araştırmacılar daha sonra açılış gününde yapılan yedi şüpheli çekime kadar giden bir açık buldu.
Axelar, kaybı 19 Haziran’da doğruladı ve birkaç saat içinde etkilenen Secret ve Secret-SNIP bağlantılarını devre dışı bıraktı; bu süreçte çekirdek protokolüne hiç dokunulmadığının altını çizdi. Ekip, fonların izini sürmek için borsalar ve kolluk kuvvetleriyle iletişime geçtiğini, yaklaşık 672.000 doların hâlâ saldırganın ana cüzdanında dokunulmadan durduğunu belirtti.
Ayrıca Oku: Bitcoin ETF Çıkışı Rekor 6,35 Milyar Dolara Ulaştı, Ancak Panik Satış Azalıyor Olabilir
Sonsuz Basım Açığı Sözleşmeyi Kandırdı
Zayıf sözleşme, köprülenmiş varlıkların Secret’a sarılı kopyalarını basıyordu ancak bir mevduatın gerçekten hangi kanaldan geldiğini asla doğrulamıyor, yalnızca token adını onaylı bir listeyle eşleştiriyordu.
Araştırma şirketi Common Prefix, bu tek boşluğun nasıl her şeyi çözdüğünü anlatan bir incelemeyi yayınladı. Ağ transferleri varsayılan olarak gizlediği için saldırganın izini sürmek, tamamen şeffaf bir kamu defterinde olacağından çok daha zor hale geldi.
Açığı kullanmak için saldırgan tek doğrulayıcılı bir zincir kurdu, yetkisiz bir kanal açtı ve izin listesinden birebir alınmış token adlarını taşıyan sahte paketleri kendi kendine yönlendirdi.
Sözleşme bunları kabul etti ve arkalarında hiçbir şey olmadan, gerçek ve geri alınabilir token’lar bastı.
Bu sahte token’ların gerçek kanal üzerinden bozdurulması, yedi sarılı varlıkta tutulan emaneti boşalttı. Açık yeni değildi ve şirket, aynı mantığın 2023’ten beri koddaki yerini koruduğunu ve Mart 2026’daki bir göçten de sağ çıktığını bildirdi. Secret, köprü ilk inşa edildiğinde hiçbir dış denetim talep edilmediğini de ekledi.
Zincirler Arası Köprüler Hâlâ Savunmasız
Çalınan fonlar önce Osmosis üzerinden taşındı, bir merkeziyetsiz borsada Ether (ETH)’e çevrildi ve sonunda üç merkezi borsaya ulaşmadan önce düzinelerce yeni cüzdana dağıtıldı. Piyasanın genel tepkisi sınırlı kaldı; Axelar’ın token’ı gün içinde yaklaşık %2,2 düşerken Secret neredeyse yatay seyretti.
Yine de bu kayıp, zincirler arası altyapı için zorlu bir yılı uzatıyor. Benzer kilitle-ve-bas tasarımlarına dayanan köprüler, kriptoda en çok istismar edilen yüzey olmaya devam ediyor; benzer açıklar 2026 boyunca sektöre 340 milyon dolardan fazlaya mâl oldu. Bu faturaya Resolv’de 25 milyon dolarlık bir sızma, Verus’ta 11 milyon dolarlık kayıp ve IoTeX’te 4 milyon dolarlık darbe de dahil.
Sırada Oku: JaredFromSubway Botu Kendi Tuzaklarına Düşerek 7,5 Milyon Dolar Kaybetti