Piratage de 4,7 millions de dollars sur Secret Network

Le projet blockchain Secret Network, axé sur la confidentialité, a subi une exploitation majeure entraînant le vol d’environ 4,67 millions de dollars en cryptomonnaies. L’attaque était rendue possible par une vulnérabilité dans un contrat intelligent lié au protocole d’interopérabilité Axelar, permettant à un attaquant de créer indéfiniment de nouveaux tokens et de les échanger contre de vrais actifs cryptographiques.

L’exploit a été réalisé dès le 10 juin, mais est resté inaperçu pendant plusieurs jours. Ce n’est qu’après l’échec d’une transaction cross-chain en raison d’un manque de réserves que l’attaque a été découverte.

L’attaquant a pu créer des tokens à volonté

Selon l’enquête de l’entreprise de sécurité blockchain Common Prefix, le pirate a exploité un bug connu sous le nom de « mint infini ». Ce type de vulnérabilité permet de créer une infinité de nouveaux tokens sans qu’il n’y ait de réelle valeur sous-jacente.

L’erreur se trouvait dans un contrat intelligent utilisé pour l’émission d’actifs enveloppés via Axelar. Normalement, ces tokens ne sont émis que lorsque de véritables actifs cryptographiques sont mis en gage comme garantie.

Dans ce cas précis, le contrat ne vérifiait pas si un dépôt provenait d’une source valide, ce qui a permis à l’attaquant de simuler des dépôts frauduleux tout en recevant des tokens valides.

Ces tokens ont ensuite été échangés contre de véritables actifs conservés en réserve, permettant ainsi au pirate de soustraire des millions de dollars de garantie au protocole.

Plusieurs tokens et blockchains affectés

L’exploitation a touché divers actifs basés sur Axelar, notamment saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB et sawstETH.

Selon Common Prefix, les fonds volés ont ensuite été transférés vers le réseau Ethereum. Les tokens y ont été convertis en Ether (ETH), avant que les gains ne soient répartis sur environ trente portefeuilles différents.

Les fonds ont finalement été déposés sur diverses plateformes d’échange de cryptomonnaies, y compris KuCoin, ChangeNow et HitBTC.

Secret Network met en garde ses utilisateurs

Secret Network a averti ses utilisateurs que la couverture des tokens affectés n’est plus entièrement en place, ce qui signifie que les détenteurs de ces actifs pourraient subir des pertes.

Selon le réseau, les propriétaires de tokens saXXX émis via Axelar doivent prendre en compte qu’une partie des réserves sous-jacentes a disparu.

Le token natif du réseau, SCRT, n’a pas été directement touché par l’attaque. Cependant, l’incident survient à un moment délicat, le cours de SCRT restant à environ 99 % en dessous de son sommet atteint lors du marché haussier de 2021.

Axelar pointe un contrat intelligent vulnérable

Suite à la révélation de l’exploitation, une confusion est apparue quant au rôle d’Axelar. Le protocole d’interopérabilité a souligné que son infrastructure propre n’a pas été piratée.

Selon Axelar, la cause réside entièrement dans le contrat intelligent vulnérable qui n’a pas été développé, déployé ou maintenu par l’entreprise. Le protocole affirme par ailleurs que son architecture de sécurité a empêché la propagation des dégâts à d’autres blockchains.

L’incident souligne une fois de plus à quel point les contrats intelligents peuvent être vulnérables. Une simple erreur de programmation peut suffire à exposer des millions de dollars de réserves.

L’attaque contre Secret Network figure désormais parmi les plus grosses piratages cryptographiques de ce mois. Selon les données de DeFiLlama, plus d’une vingtaine de piratages et d’exploitations ont déjà eu lieu dans le secteur des cryptomonnaies en juin. Auparavant, Humanity Protocol et Syscoin Bridge ont également été touchés, avec respectivement environ 32 millions de dollars et 8 millions de dollars perdus.