시크릿 네트워크, 크로스 체인 취약점으로 467만 달러 손실, 공격 행위 7일간 감지되지 않음

블록체인 연구 기관 Common Prefix가 공개한 바에 따르면, 해커는 6월 10일 Secret Network와 Axelar 간의 크로스 체인 브리지 계약의 취약점을 이용해 가짜 예금을 만들고 무담보 토큰을 발행한 후 약 467만 달러를 현금화했습니다.

이번 공격은 7일 동안 발견되지 않았으며, 6월 17일 정상적인 크로스 체인 송금이 관리 계좌의 자금 부족으로 실패하면서 이상이 드러났습니다. 취약점의 원인은 해당 계약이 관리 모델을 발행 모델로 변경할 때, 송금 출처를 검증하는 두 개의 핵심 함수를 삭제했으며, 2023년 초 배포 이후 외부 감사가 전혀 이루어지지 않았기 때문입니다. Secret Network는 Axelar 브리지 인프라가 자산이 대규모로 도난당하기 전에 어떤 유효한 이상 모니터링이나 긴급 중단 메커니즘을 발동하지 못했다고 지적했습니다.

도난당한 자금은 Osmosis를 통해 이더리움으로 라우팅되었고, CoW Protocol에서 ETH로 교환된 후 KuCoin, ChangeNow 및 HitBTC와 같은 거래소로 분산 이체되었습니다. 현재 약 67.2만 달러가 공격자의 Axelar 지갑에 남아 있습니다. Secret Network는 Axelar에 해당 주소의 동결을 요청했으나 거부당했습니다. Axelar 측은 자사의 핵심 프로토콜은 전혀 영향을 받지 않았으며, 이용된 계약은 Axelar가 개발하거나 유지 관리한 것이 아니라고 강조했습니다. 현재 Axelar는 관련 크로스 체인 연결을 비활성화했으며, 거래소 및 법 집행 기관과 협조하여 후속 조치를 취하고 있다고 밝혔습니다.