Axelar-gebundene Token im Wert von 4,67 Millionen US-Dollar durch Ausnutzung einestracdes Secret Networks gestohlen

Laut einer Erklärung von Axelar vom 19. Juni wurden Token im Wert von etwa 4,67 Millionen US-Dollar aus dem Secret Network abgezweigt, nachdem ein Angreifer einen auf ICS-20 basierenden Smarttracausgenutzt hatte, der zur Erleichterung von Cross-Chain-Transfers verwendet wurde.

Derdent legte eine weitere Schwachstelle in der Brückeninfrastruktur zwischen Cosmos-basierten Blockchains offen. Axelar gab jedoch an, dass das Problem ausschließlich den Secret-seitigen ICS-20 Smarttracbetraf, der in der Cosmos IBC-Verbindung zwischen Secret und Axelar verwendet wird. Das Unternehmen versicherte, dass Axelars Kernprotokoll, andere IBC-Verbindungen, andere Blockchains und andere Treuhandkonten nicht betroffen seien.

Bei den gestohlenen Vermögenswerten handelte es sich um Token, die von Axelar auf Secret Network, einer datenschutzorientierten Blockchain, die mit dem Cosmos SDK entwickelt wurde, übertragen wurden. Laut dem Blockchain-Sicherheitsforschungsunternehmen Common Prefix nutzte der Angreifer einen modifizierten CW20-ICS20-Token-tracauf Secret aus und erbeutete rund 4,67 Millionen US-Dollar in sieben verschiedenen Vermögenswerten, darunter Wrapped USDT, USDC, DAI, WETH, WBTC,BNBund wstETH.

Eintracauf der Geheimseite führt zu einem Verlust von durch Axelar verbundenen Vermögenswerten

befand sich die Schwachstelle bei Common Prefix in einem modifizierten CW20-ICS20-Vertrag,tracLaut einem von Binance Square.

Diesertracdiente der Generierung von Wrapped-Formen von Axelar-Bridged-Token, nachdem Nutzer ihre Token über das IBC-Protokoll bei Secret eingezahlt hatten. Dertracüberprüfte jedoch nicht zwei wichtige Voraussetzungen: ob die Token-Transfers tatsächlich über einen authentischen, von Axelar kontrollierten IBC-Kanal initiiert wurden und ob die angeforderten Einlösungen den verfügbaren Betrag im Treuhandkonto übersteigen.

Da diese Voraussetzungen ignoriert wurden, akzeptierte dertracalle bösartigen IBC-Pakete als gültig, wenn sich die Token-ID auf der Zulassungsliste befand.

Gefälschte IBC-Pakete erzeugten unbesicherte, umhüllte Token

Laut der Analyse von Common Prefix erstellte der Angreifer eine minimale Cosmos Blockchain mit einem einzigen Validator, öffnete einen neuen IBC-Kanal zum Secret Network und sendete über diesen Weg gefälschte Einzahlungspakete.

Der angreifbaretracempfing die Pakete und erstellte ungedeckte Wrapped Tokens auf Secret. Der Angriff erfolgte durch Einlösung der Wrapped Tokens über den korrekten Axelar-Mechanismus, wodurch Treuhandkonten mit tatsächlichen Bridged Assets geleert wurden.

Common Prefix behauptete, dertrachabe nicht geprüft, über welchen IBC-Kanal die Token eingingen. Dadurch sei es möglich gewesen, dass die über die kontrollierte Kette gesendeten schädlichen Pakete als korrekte Bridge-Operation akzeptiert wurden.

Das Problem scheint schon länger zu bestehen. Common Prefix tracdie fehlende Validierung auf frühe öffentliche Commits aus dem Jahr 2023 zurückführen und gab an, dass eine Migration im März 2026 dieselbe Logik beibehielt, anstatt die zugrundeliegende Schwachstelle zu beheben.

Der strukturelle Fehler lag in der Nachrichtenauthentifizierung. Das System ging davon aus, dass vorgelagerte Komponenten die Authentifizierung übernehmen würden, doch diese Annahme traf im Routing-Setup des Angreifers nicht zu. Daher konnten gefälschte Nachrichten durchgelassen werden, wenn die Kanal- und Tokenbedingungen übereinstimmten.

Notfallmaßnahmen isolieren die betroffene Route

Axelar erklärte, dass ihre Notfall-Einsatzgruppe die entsprechende IBC-Verbindung zum Secret Network sofort nachdentdesdentgetrennt habe.

Die Gruppe betonte, dass es keine Sicherheitslücke im Kernprotokoll von Axelar gegeben habe und das Problem weiterhin ausschließlich das Secret Network betreffe. Axelar gab außerdem an, Kontakt zu Kryptobörsen und Strafverfolgungsbehörden aufgenommen zu haben.

Für Nutzer, die Vermögenswerte von Axelar über den betroffenen Weg zu Secret transferiert haben, besteht das unmittelbare Problem in der Einlösung. Da das Treuhandkonto leer ist, können die auf Secret hinterlegten Vermögenswerte nicht mehr über diesen Kanal gegen die zugrunde liegenden Token eingelöst werden.

Die Wiederherstellung kann zudem komplizierter sein als bei einem typischen Angriff auf eine öffentliche Blockchain, da Secret Network Guthaben und Überweisungen standardmäßig verschlüsselt. Das bedeutet, dass die Wallet des Angreifers und die ausgenutzten Transaktionen mit gängigen öffentlichen Block-Explorern schwerer zu untersuchen sind.

Die Brückensicherheit steht vor einer weiteren Validierungsprüfung

Der Verlust von 4,67 Millionen Dollar ist zwar geringer als bei manchen der größten Bridge-Hacks, aber der Vorfalldent dennoch von Bedeutung, da er eine bekannte Schwachstelle ausnutzte: die kettenübergreifende Nachrichtenvalidierung.

Wie Cryptopolitan bereits berichtete, wurde diesen Monat eine Syscoin-Bridge vorübergehend außer Betrieb genommen, nachdem ein Angreifer eine Validierungslücke ausgenutzt hatte, um unautorisiert rund 5 Milliarden SYS-Token zu prägen. Dieser Vorfalldent sich in eine wachsende Liste von Bridge-Exploits im Jahr 2026 ein.

verlor CrossCurve im Februar schätzungsweise 3 Millionen Dollar, nachdem Angreifer Schwachstellen in den Smart Contracts des Protokolls ausgenutzttracLaut Halborns Post-mortem-Analyse.

Der Fall „The Secret“ belegt, dass eine einzige unerkannte Annahme in der Cross-Chain-Infrastruktur ausreicht, um einen kompletten Treuhandgeldverlust zu verursachen. Es ist möglich, dass ein zugrundeliegendes Protokoll intakt bleibt, während dietracam Rande einer Brücke weiterhin Kundengelderdentkönnen.

Sowohl Axelar als auch Secret Network haben erklärt, dass eine umfassende Untersuchung durchgeführt wird. Bis dahin dient der kompromittierte Kanal als Warnung, dass die Sicherheit von Datenbrücken nicht nur das primäre Protokoll betrifft, sondern auch jeden Smarttrac, der die Kommunikation zwischen den Blockchains abwickelt.