Secret Network perde 4,67 milioni di dollari in un exploit di conio infinito

Un attaccante ha sfruttato un bug di “mint infinito” in un contratto smart vulnerabile sulla Secret Network, creando versioni avvolte non garantite di asset bridgati tramite Axelar e causando un exploit del valore di circa 4,67 milioni di dollari.

L’incidente è avvenuto il 10 giugno e la compromissione è stata individuata una settimana dopo, il 17 giugno, quando una transazione cross-chain fallita ha generato un errore di “fondi insufficienti” sull’account svuotato, secondo quanto ha riportato Common Prefix.

Come è avvenuto l’exploit

Il vettore sfruttato riguarda la mancata verifica dell’origine del trasferimento in ingresso da parte del contratto responsabile della coniazione (mint). In pratica, depositi contraffatti veicolati attraverso un canale controllato dall’attaccante hanno attivato la creazione di token saToken autentici senza alcuna garanzia sottostante in escrow.

Common Prefix ha dichiarato:

“Depositi contraffatti su un canale sotto il controllo dell’attaccante hanno coniato saToken autentici senza asset a sostegno.”

Asset coinvolti e movimentazioni

Tra gli asset Axelar-avvolti coniati senza backing figurano saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB e sawstETH. L’attaccante ha poi spostato questi fondi sulla Ethereum chain, convertendoli in Ether (ETH).

I proventi sono stati suddivisi tra circa trenta wallet differenti per offuscare le tracce e successivamente depositati su exchange quali KuCoin, ChangeNow e HitBTC, ha indicato Common Prefix.

Secret Network ha posto un avviso rivolto ai detentori di saToken bridgati tramite Axelar, segnalando che la copertura degli asset è stata compromessa e che i fondi potrebbero essere persi.

Reazioni dei protocolli coinvolti

Il token nativo della Secret Network, Secret (SCRT), non è risultato direttamente coinvolto nell’incidente, tuttavia resta molto distante dai massimi storici del 2021. Analogamente, il token nativo di Axelar, Axelar (AXL), ha mantenuto quotazioni inferiori ai picchi recenti.

Axelar ha pubblicato una conferma in cui precisa che né la rete Axelar né il protocollo di comunicazione inter-blockchain IBC sono stati compromessi e che il contratto smart sfruttato non è stato sviluppato, deployato o mantenuto da Axelar. Ha aggiunto che le barriere di protezione di Axelar hanno evitato la propagazione dell’impatto ad altre chain.

Contesto del fenomeno e altri attacchi recenti

Questo episodio si inserisce in una serie di exploit che hanno colpito protocolli crypto nel corso del mese. Secondo DeFiLlama, gli attacchi rilevati sono almeno una ventina. Tra gli episodi più rilevanti si segnalano le perdite subite dal Humanity Protocol (circa 32 milioni di dollari) e dal Syscoin Bridge (circa 8 milioni di dollari).

La Secret Network è una blockchain layer-1 focalizzata sulla privacy costruita nell’ecosistema Cosmos, mentre Axelar è una rete decentralizzata per l’interoperabilità tra diversi ecosistemi blockchain. L’incidente mette in evidenza le fragilità residue nelle integrazioni cross-chain e nella gestione degli asset escrowati.

Implicazioni e raccomandazioni

Dal punto di vista tecnico, la vulnerabilità ribadisce l’importanza di validare sempre la provenienza dei trasferimenti in ingresso prima di autorizzare la creazione di token. Per gli operatori e gli utenti questo si traduce nella necessità di audit più rigorosi, test su canali cross-chain e meccanismi di monitoraggio automatizzato delle discrepanze tra token coniati e asset in escrow.

Per gli investitori e i detentori di token bridgati, le azioni prudenziali comprendono verificare le comunicazioni ufficiali delle reti coinvolte, spostare eventuali fondi su wallet controllati, ridurre l’esposizione a smart contract non ampiamente verificati e richiedere maggiore trasparenza sulle procedure di escrow e copertura degli asset wrapped.

Dal punto di vista regolamentare e di mercato, ripetuti exploit cross-chain possono alimentare richieste di interventi normativi più stringenti e aumentare la cautela degli istituzionali verso prodotti DeFi non custodial, con possibili effetti sulla liquidità e sui prezzi degli asset correlati.

In sintesi

• L’incidente evidenzia come le integrazioni cross-chain possano introdurre vettori di rischio sistemico; per il mercato italiano ciò significa una maggiore attenzione nella valutazione dei progetti DeFi che utilizzano bridge e wrapper.
• Gli investitori dovrebbero considerare l’incidenza del rischio tecnologico sui rendimenti attesi: eventi come questo possono erodere rapidamente la liquidità e aumentare la volatilità dei token correlati.
• Le istituzioni finanziarie e gli exchange che operano in Italia potrebbero rafforzare le procedure di conformità e due diligence sugli asset bridgati per limitare l’ingresso di fondi provenienti da exploit.
• Per il settore, la lezione principale è l’urgenza di standard di auditing e meccanismi di assicurazione degli asset in escrow, elementi che potrebbero favorire una maggiore fiducia degli investitori nel medio termine.