Le Pont Secret Network Perd 4,7 M$ à Cause d'une Faille de 'Frappe Infinie'

Un attaquant a exploité une vulnérabilité de type "infinite mint" dans un Smart Contract (Contrat Intelligent) sur le Secret Network, créant des actifs Axelar enveloppés sans garantie adéquate. L'incident a entraîné une perte signalée de 4,67 millions de dollars, selon la société de recherche blockchain Common Prefix.

La brèche s'est produite le 10 juin mais a été identifiée une semaine plus tard, le 17 juin, après qu'une transaction Cross-chain échouée a déclenché une erreur de "montant insuffisant" liée au compte vidé, a indiqué Common Prefix dans un rapport publié vendredi. Les fonds ont ensuite été acheminés vers Ethereum et distribués dans plusieurs portefeuilles avant d'être transférés vers des exchanges, a ajouté la société.

Points clés

• Common Prefix attribue l'exploit de 4,67 millions de dollars à une faille d'infinite-mint dans un contrat Secret Network qui a frappé des tokens Axelar enveloppés sans garantie.
• Le problème a été retracé à l'absence de vérification de la source des Transferts entrants avant la frappe, permettant des dépôts forgés sur un canal contrôlé par l'attaquant.
• Les actifs enveloppés affectés comprenaient saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB et sawstETH.
• Secret Network a déclaré que les détenteurs de tokens saXXX bridgés via Axelar pourraient subir des pertes, tandis que Secret et Axelar ont tous deux souligné que le token SCRT de Secret et l'infrastructure d'Axelar n'avaient pas été directement compromis.

Comment l'exploit a fonctionné sur le Bridge cross-chain Axelar de Secret

Secret Network est une Blockchain layer-1 axée sur la confidentialité, construite sur l'écosystème Cosmos. Axelar, quant à lui, est conçu pour permettre l'Interopérabilité des blockchains. L'exploit visait un Smart Contract (Contrat Intelligent) gérant les actifs Axelar enveloppés sur Secret, où les "saTokens" enveloppés sont censés représenter le collatéral détenu en séquestre.

Common Prefix a rapporté que le contrat n'avait pas vérifié la provenance des Transferts entrants avant la frappe. En conséquence, l'attaquant pouvait "forger" des dépôts via un canal qu'il contrôlait, déclenchant la frappe de "véritables saTokens sans actifs les garantissant", a indiqué la société.

Après la frappe, l'attaquant a racheté les actifs Axelar enveloppés via des canaux légitimes. Common Prefix a indiqué que le Rachat a vidé les véritables actifs Axelar enveloppés détenus en séquestre, convertissant les représentations non garanties en valeur garantie.

Chronologie et découverte : du 10 juin au 17 juin

Bien que l'exploit lui-même ait eu lieu le 10 juin, l'indicateur crucial de problème est apparu plus tard. Common Prefix a indiqué que la brèche a été découverte le 17 juin après qu'une transaction Cross-chain a échoué en raison d'une erreur de "montant insuffisant" liée au compte qui avait été vidé.

Ce délai importe pour les utilisateurs car il met en évidence comment les systèmes liés aux bridges ou aux séquestres peuvent continuer à fonctionner normalement — ou du moins ne pas signaler immédiatement des défaillances évidentes — jusqu'à ce que des actions en aval spécifiques fassent apparaître le déficit. En pratique, cela peut signifier que la fenêtre entre la frappe et la détection peut être suffisamment longue pour que les actifs soient redistribués avant que les enquêteurs n'établissent pleinement les liens.

Où sont allés les fonds volés

Common Prefix a rapporté qu'après avoir exploité les tokens enveloppés, l'attaquant a transféré les actifs vers la Blockchain Ethereum et les a convertis en Ether (ETH). La société a également indiqué que l'attaquant a réparti les gains entre environ 30 portefeuilles.

Ces portefeuilles ont ensuite été utilisés pour transférer des fonds vers des exchanges, notamment KuCoin, ChangeNow et HitBTC, selon le rapport. L'approche multi-portefeuilles est une tactique courante dans les activités de blanchiment, visant à compliquer la traçabilité en fragmentant les flux de transactions et les schémas de distribution.

Quels tokens ont été affectés — et ce que Secret a déclaré aux utilisateurs

Les actifs Axelar enveloppés affectés frappés sans garantie comprenaient saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB et sawstETH. Common Prefix a souligné que la garantie de ces tokens avait été compromise, ce qui signifie que les détenteurs de tokens pourraient ne pas être en mesure de les racheter contre leur collatéral prévu.

Samedi, Secret Network a publié un avis de sécurité indiquant que les détenteurs de tokens saXXX bridgés via Axelar sur Secret devraient s'attendre à ce que leur garantie soit affectée et que leurs fonds "pourraient être perdus".

Le token natif de Secret, Secret (SCRT), n'a pas été signalé comme impacté par l'incident. Cependant, l'avis souligne qu'il ne s'agissait pas d'une compromission générale du réseau lui-même, mais d'une faiblesse ciblée dans le chemin de frappe pour des actifs bridgés spécifiques.

Réponse d'Axelar : non compromis, le pare-feu a contenu l'impact

Axelar a reconnu l'incident samedi après que "une certaine confusion" a émergé autour de la brèche. Dans sa déclaration, Axelar a indiqué que ni Axelar ni l'IBC (Inter-Blockchain Communication) n'avaient été compromis.

Axelar a ajouté que le Smart Contract (Contrat Intelligent) du token exploité "n'a pas été développé, déployé ou maintenu par Axelar", et que le pare-feu d'Axelar a empêché l'impact de se propager à d'autres chaînes.

Pour les investisseurs et les développeurs, la distinction est significative : elle limite la source probable de défaillance à la logique du contrat du côté de Secret plutôt qu'à l'infrastructure principale d'Interopérabilité des blockchains d'Axelar. Même ainsi, les systèmes Cross-chain restent étroitement couplés à travers des hypothèses sur le séquestre, l'intégrité des messages et la vérification de la frappe — exactement là où cet exploit semble avoir brisé ces hypothèses.

Partie d'une vague plus large d'attaques de protocoles

Cette brèche survient dans le cadre d'un schéma plus large d'exploitation Cross-chain et de protocoles. Common Prefix a noté qu'elle fait partie d'une série de piratages et d'exploits survenant ce mois-ci, avec au moins 22 incidents signalés par le suivi continu des piratages de DeFiLlama.

Au cours de cette même période récente, d'autres pertes liées aux bridges signalées comprenaient Humanity Protocol et Syscoin Bridge, qui ont subi ce mois-ci des pertes signalées de 32 millions de dollars et 8 millions de dollars respectivement, selon les informations référencées dans le contexte de Common Prefix.

Bien que chaque événement ait sa propre cause profonde, le thème récurrent est similaire : bon nombre des défaillances de plus grande valeur se produisent là où la logique de bridging rencontre la comptabilité des actifs — surtout lorsque les systèmes frappent des représentations basées sur des messages ou des dépôts qui ne sont pas fortement authentifiés de bout en bout.

À l'avenir, les utilisateurs détenant des saTokens affectés devraient surveiller les annonces supplémentaires de Secret et tout conseil sur la possibilité et la manière dont les soldes restants peuvent être rachetés. La question ouverte clé est de savoir à quelle vitesse et de manière complète le chemin de frappe affecté peut être audité et corrigé — car dans les écosystèmes Cross-chain, même de petites lacunes de vérification peuvent se traduire par de véritables drainages de valeur garantie une fois qu'un attaquant trouve un itinéraire de rachat.

Cet article a été initialement publié sous le titre Secret Network Bridge Loses $4.7M to 'Infinite Mint' Flaw sur Crypto Breaking News — votre source de confiance pour les actualités crypto, les actualités Bitcoin et les mises à jour blockchain.