Blok zinciri araştırma şirketi ve Axelar’ın başlıca yöneticisi Common Prefix’in yayımladığı inceleme raporuna göre, bir saldırgan Secret Network’ün Axelar köprüsünde özel bir token sözleşmesindeki açığı kullanarak yaklaşık 4,67 milyon dolarlık varlığı ele geçirdi. Söz konusu hırsızlık, yedi gün boyunca tespit edilemedi.
Saldırı, Axelar’dan köprülenen varlıkları yöneten ve Secret üzerinde çalışan değiştirilmiş bir CW20-ICS20 sözleşmesini hedef aldı. Bu sözleşme, Axelar üzerinden gelen varlıkların Secret’a özel sarılmış versiyonlarını (saToken) üretirken, gelen transferin hangi kanaldan geldiğini kontrol etmiyordu. Bu eksiklik, saldırganın sahte yatırımlar göstererek karşılığı olmayan gerçek saToken’lar basmasına olanak tanıdı.
IBC kanalı açmak için herhangi bir izin gerekmemesi nedeniyle, saldırgan tek doğrulayıcılı bir Cosmos zinciri başlattı, köprü sözleşmesine bir kanal açtı ve sözleşmenin izin verdiği token tanımlarını taşıyan sahte paketleri kendi kendine iletti. Sözleşme, bu yalın tanımları Axelar’ın gerçek kanalından gelenlerle ayırt edemediği için, karşılığında saToken bastı. Daha sonra, bu bakiyeler gerçek Axelar kanalı üzerinden çekilerek emanette tutulan varlıkların serbest bırakılması sağlandı.
Common Prefix’in verilerine göre, saldırı yedi farklı saToken’ı etkiledi: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB ve sawstETH.
Açığın yeni olmadığı, Common Prefix’in tespitlerine göre sözleşmenin ilk dağıtıldığı 2023 başına kadar uzandığı belirtildi. 5 Mart’ta yapılan ve yeni özellikler ekleyen kod göçü de aynı güvenlik açığını taşıdı. 10 Haziran’daki saldırı, bu güncellenmiş kodu hedef aldı.
Secret Network, kendi açıklamasında köprü sözleşmesinin Axelar entegrasyonu için emanet modelinden mint modeline geçirildiğini ve transferin kaynağını doğrulayacak iki fonksiyonun bu süreçte kaldırıldığını belirtti. Secret ekibi ayrıca, entegrasyon kapsamında Axelar tarafından harici bir denetim talep edilmediğini vurguladı.
Ağ üzerindeki bakiyeler varsayılan olarak şifreli olduğu için, eksik teminat zincir üstünde doğrudan görünmedi. Eksiklik, ancak 17 Haziran’da Axelar üzerinde yapılan rutin bir zincirler arası transferin, emanet hesabında yeterli bakiye kalmadığı için hata vermesiyle ortaya çıktı. Araştırmacılar, açığın 10 Haziran’da yapılan yedi çekime dayandığını tespit etti.
Secret, yayımladığı raporda Axelar köprü altyapısında etkili bir izleme, anomali tespiti veya acil durdurma mekanizmasının devreye girmediğini ve köprü varlıkları önemli ölçüde boşaltılmadan önce olağandışı büyüklükteki veya şüpheli transferlerin tespit edilip geçici olarak durdurulamadığını savundu.
Bu bulgu, yakın zamanda Zcash’te keşfedilen ve havuz içinde sınırsız sayıda sahte token üretilebilmesine yol açabilecek benzer bir açığı hatırlatıyor. ZEC token’ındaki bu güvenlik açığının açıklanması, fiyatın -%30’dan fazla düşmesine neden olmuştu.
Axelar’ın acil durum komitesi, olayın ardından Secret ve Secret-SNIP bağlantılarını devre dışı bıraktı. Zincirler arası yönlendirici Squid ise Secret’ı arayüzünden kaldırdı. Axelar, çekirdekteki protokolün etkilenmediğini ve başka zincir, kanal veya emanet hesabının zarar görmediğini açıkladı. Secret ekibi, etkilenen sözleşmenin durdurulması ve taşınması için bilgilendirildi.
Common Prefix’in izleme verilerine göre, saldırganın çaldığı varlıklar önce Axelar’a çekildi, ardından otomatik paket yönlendirme ile Osmosis üzerinden geçirildi, sonrasında Ethereum’a köprülendi ve büyük oranda CoW Protocol üzerinde Ethereum’a çevrildi. Elde edilen Ethereum, yaklaşık 30 farklı yeni cüzdana bölündü ve ardından KuCoin, ChangeNow ve HitBTC gibi borsalardaki yatırma adreslerine aktarıldı.
Olayın açıklanmasına rağmen, her iki token da son 24 saatte artıda işlem görüyor. The Block’un Axelar fiyat sayfasına göre AXL yaklaşık %1,3 yükselirken, Secret’ın SCRT token’ı ise haberin yazıldığı sırada %5,6 artış kaydediyor.
Bu olay, 2026’da yaşanan zincirler arası saldırıların son halkası oldu. Nisan ayında, bir saldırgan Kelp DAO’nun LayerZero tabanlı köprüsünden yaklaşık 292 milyon dolarlık rsETH çalmış, bu daha büyük olayın etkileri Aave’ye kadar yayılmış ve topluluk tarafından başlatılan bir kurtarma girişimiyle kontrol altına alınmıştı.
Secret Network, forum paylaşımında çalınan fonların yaklaşık 770.000 dolarının olay sırasında hâlâ saldırganın Axelar cüzdanında bulunduğunu belirtti. Secret, bu varlıkları tespit edip kurtarılabilir olarak işaretlediğini ve Axelar ekibinden bunları dondurmasını veya toplulukla iş birliği yapmasını talep ettiğini, ancak bu talebin karşılık bulmadığını açıkladı. Axelar ise borsalar ve kolluk kuvvetleriyle koordinasyon halinde olduğunu, bağlantının yeniden açılması için bir takvim paylaşmadığını bildirdi.
The Block’un incelediği Axelarscan verilerine göre, saldırganın Axelar cüzdanında hâlâ 6,2 WBTC, 239.324 USDC, 64,04 WBNB ve 248,85 AXL bulunuyor. Bunların toplam değeri haberin yazıldığı sırada yaklaşık 672.000 dolar seviyesinde.
Axelar, olayın kendi tarafındaki bir hatadan kaynaklandığı iddialarını reddetti. Takım, takip eden açıklamasında Axelar veya IBC’nin ele geçirilmediğini, istismar edilen token akıllı sözleşmesinin Axelar tarafından geliştirilmediğini, dağıtılmadığını veya bakımının yapılmadığını belirtti. Açığın Axelar’a özgü bir mantıkta ya da IBC’de bulunmadığı vurgulandı.
The Block, haberin yazıldığı sırada Axelar veya Secret Network’ten yorum alamadı.
Bu içerik hazırlanırken faydalanılan kaynaklar: theblock.co
