Bir saldırgan, yoktan teminatsız token basan hatalı bir sözleşmeden yararlanarak Axelar (AXL) ile bağlantılı Secret (SCRT) köprüsünden yaklaşık 4,67 milyon $ çekti.
Öne Çıkan Noktalar:
- Hatalı bir Secret Network sözleşmesi, saldırganın teminatsız token basarak yaklaşık 4,67 milyon $ çekmesine izin verdi.
- Hırsızlık, başarısız bir transfer boş emanet hesabını ortaya çıkarana kadar yedi gün boyunca gizli kaldı.
- Axelar, etkilenen bağlantıları devre dışı bıraktı ve çekirdek protokolüne dokunulmadığını vurguladı.
Secret Network Köprüsü Milyonlarca Dolar Kaybetti
Hırsızlık 10 Haziran’da başladı ancak Secret varsayılan olarak bakiyeleri şifrelediği ve kayıp teminat zincirde görünmediği için yedi gün fark edilmedi. Olay yalnızca, rutin bir zincirler arası transferin emanet hesabı kuruduğu için 17 Haziran’da başarısız olmasıyla ortaya çıktı. Araştırmacılar daha sonra açılış gününde yapılan yedi şüpheli çekime kadar açığı geriye dönük izledi.
Axelar, kaybı 19 Haziran’da doğruladı ve birkaç saat içinde etkilenen Secret ve Secret-SNIP bağlantılarını devre dışı bırakırken çekirdek protokolünün asla dokunulmadığını vurguladı. Ekip, fonları izlemek için borsalar ve kolluk kuvvetleriyle iletişime geçtiğini, yaklaşık 672.000 $’ın hâlâ saldırganın ana cüzdanında dokunulmadan durduğunu belirtti.
Ayrıca Oku: Bitcoin ETF Çıkışı Rekor 6,35 Milyar Dolara Ulaştı, Ancak Panik Satış Yatışıyor Olabilir
Sonsuz-Basım Açığı Sözleşmeyi Aldattı
Savunmasız sözleşme, köprülenmiş varlıkların Secret’a sarılı kopyalarını basıyordu ancak bir mevduatın gerçekten hangi kanaldan geldiğini asla doğrulamıyor, yalnızca token adını onaylı bir listeyle eşleştiriyordu.
Araştırma firması Common Prefix, bu tek boşluğun nasıl her şeyi çözdüğünü haritalayan bir otopsiyi yayınladı. Ağ varsayılan olarak transferleri gizlediği için, saldırganı izlemek tamamen şeffaf bir açık deftere kıyasla çok daha zor oldu.
Açığı kullanmak için saldırgan tek doğrulayıcılı bir zincir kurdu, yetkisiz bir kanal açtı ve izin listesinden birebir kopyalanmış token adlarını taşıyan sahte paketleri kendi kendine yönlendirdi.
Sözleşme bunları kabul etti ve arkalarında hiçbir şey olmadan gerçek, itfa edilebilir tokenlar bastı.
Bu sahte tokenların gerçek kanal üzerinden itfa edilmesi, yedi sarılı varlık genelinde emanet hesabını boşalttı. Açık yeni değildi ve firma, aynı mantığın 2023’ten beri koddaki yerini koruduğunu ve 2026 Mart’taki bir geçişi de atlattığını bildirdi. Secret, köprünün ilk inşa edildiğinde harici bir denetim talep edilmediğini de ekledi.
Zincirler Arası Köprüler Hâlâ Savunmasız
Çalınan fonlar Osmosis üzerinden taşındı, merkeziyetsiz bir borsada Ether (ETH)’e çevrildi ve üç merkezi borsaya ulaşmadan önce onlarca yeni cüzdana dağıtıldı. Piyasanın genel tepkisi sönük kaldı; Axelar’ın tokenı gün içinde yaklaşık %2,2 gerilerken Secret neredeyse yatay seyretti.
Yine de bu kayıp, zincirler arası altyapı için sert bir yılı uzatıyor. Benzer kilitle-basımlı tasarımlara sahip köprüler, kriptodaki en çok istismar edilen yüzey olmaya devam ediyor; benzer açıklar 2026’da sektör genelinde 340 milyon $’dan fazlaya mal oldu. Bu bedelin içinde Resolv’de 25 milyon $’lık, Verus’ta 11 milyon $’lık ve IoTeX’te 4 milyon $’lık kayıp yer alıyor.
Sıradaki Haber: JaredFromSubway Botu Kendi Tuzaklarına Düşerek 7,5 Milyon $ Kaybetti