Secret Network bị hack 4,67 triệu USD nhưng 7 ngày sau mới phát hiện

Hệ sinh thái blockchain tập trung vào quyền riêng tư Secret Network đang trở thành tâm điểm chú ý sau khi một cuộc tấn công tinh vi nhằm vào cầu nối (bridge) tích hợp với Axelar khiến khoảng 4,67 triệu USD tài sản bị đánh cắp. Điều đáng chú ý là lỗ hổng này đã tồn tại trong thời gian dài nhưng không bị phát hiện, trong khi vụ khai thác diễn ra âm thầm suốt một tuần trước khi các bên liên quan nhận ra sự cố.

Theo báo cáo điều tra kỹ thuật được công bố bởi Common Prefix, đơn vị nghiên cứu blockchain đồng thời là một trong những bên quản lý chính của hệ sinh thái Axelar, nguyên nhân của vụ việc xuất phát từ một lỗi nghiêm trọng trong hợp đồng thông minh tùy chỉnh được sử dụng trên Secret Network để xử lý tài sản chuyển đến từ Axelar.

Hacker tạo token từ “hư không” và rút tài sản thật khỏi kho ký quỹ

Vấn đề nằm ở một hợp đồng CW20-ICS20 đã được chỉnh sửa để phục vụ quá trình tích hợp giữa Secret Network và Axelar. Hợp đồng này chịu trách nhiệm phát hành các phiên bản token được bọc (wrapped token) trên Secret Network, thường được gọi là saTokens.

Trong thiết kế chuẩn, hệ thống phải xác minh chính xác nguồn gốc của các giao dịch được gửi đến thông qua các kênh IBC hợp lệ. Tuy nhiên, do thiếu bước kiểm tra quan trọng này, hợp đồng đã chấp nhận các dữ liệu chuyển khoản giả mạo và phát hành saTokens mà không có bất kỳ tài sản bảo chứng nào đứng phía sau.

Kẻ tấn công đã tận dụng đặc tính mở của giao thức IBC trong hệ sinh thái Cosmos. Bằng cách tự xây dựng một blockchain Cosmos chỉ với một validator duy nhất, hacker tạo một kênh kết nối mới tới hợp đồng bridge trên Secret Network. Sau đó, chúng gửi các gói dữ liệu giả mạo chứa tên token hợp lệ giống với danh sách tài sản được phép hỗ trợ.

Do hợp đồng chỉ kiểm tra tên tài sản mà không xác thực nguồn gửi, hệ thống đã tự động đúc ra các saTokens hoàn toàn hợp lệ. Sau khi sở hữu số token này, hacker tiếp tục đổi ngược chúng thông qua kênh Axelar chính thức để rút ra các tài sản thật đang được lưu giữ trong kho ký quỹ của bridge.

Quá trình này tương đương với việc in tiền giả nhưng đổi lấy tiền thật từ ngân hàng mà hệ thống không hề phát hiện.

Theo kết quả điều tra, số tiền bị đánh cắp trải rộng trên nhiều tài sản khác nhau bao gồm: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB và sawstETH

Đây đều là các tài sản phổ biến được sử dụng trong hoạt động DeFi và giao dịch xuyên chuỗi.

Lỗ hổng xuất hiện từ năm 2023

Điều khiến cộng đồng bất ngờ là lỗ hổng không phải mới phát sinh. Common Prefix cho biết lỗi này đã xuất hiện ngay từ thời điểm hợp đồng được triển khai lần đầu vào đầu năm 2023. Đến tháng 3/2026, Secret Network thực hiện nâng cấp hợp đồng để bổ sung các tính năng mới, nhưng phần mã nguồn dễ bị khai thác vẫn được giữ nguyên. Chính phiên bản nâng cấp này đã bị hacker lợi dụng trong cuộc tấn công diễn ra ngày 10/6/2026.

Trong báo cáo riêng của mình, Secret Network giải thích rằng khi chuyển đổi mô hình bridge từ cơ chế khóa tài sản (escrow model) sang cơ chế phát hành token (mint model) để phục vụ tích hợp Axelar, hai hàm kiểm tra nguồn gốc giao dịch đã bị loại bỏ khỏi hợp đồng. Đáng chú ý hơn, đội ngũ Secret Network cho biết không có cuộc kiểm toán bảo mật độc lập nào được yêu cầu đối với phần tích hợp này trước khi đưa vào vận hành.