Des jetons Axelar d'une valeur de 4,67 millions de dollars ont été dérobés suite à une faille dans untracdu réseau Secret

Environ 4,67 millions de dollars de jetons ont été dérobés au Secret Network après qu'un attaquant a exploité untracintelligent basé sur ICS-20 utilisé pour faciliter les transferts inter-chaînes, selon la déclaration d'Axelar du 19 juin.

Cetdent a révélé une autre faille dans l'infrastructure de pont reliant les blockchains basées sur Cosmos, mais Axelar a précisé que le problème était limité autracintelligent ICS-20 côté Secret utilisé dans la connexion Cosmos IBC entre Secret et Axelar. L'entreprise a indiqué que le protocole principal d'Axelar, les autres connexions IBC, les autres chaînes et les autres comptes séquestres n'avaient pas été affectés.

Les actifs volés étaient des jetons transférés d'Axelar vers Secret Network, une blockchain axée sur la confidentialité et construite avec le Cosmos SDK. Selon la société de recherche en sécurité blockchain Common Prefix, l'attaquant a exploité untracde jeton CW20-ICS20 modifié sur Secret et a dérobé environ 4,67 millions de dollars répartis sur sept actifs, dont des USDT, USDC, DAI, WETH, WBTC,BNBet wstETH encapsulés.

Une faille dans un contrat secrettracles ressources liées à Axelar

CW20-ICS20 modifiétracdéployé sur Secret Network pour traiter les transferts IBC entrants, selon un rapport résumé par Binance Square.

Cetraca servi à générer des tokens Axelar Bridged sous forme encapsulée après que les utilisateurs aient déposé leurs tokens dans Secret via le protocole IBC. Cependant, letracne vérifiait pas deux conditions préalables importantes : que les transferts de tokens aient bien été initiés via un canal IBC authentique contrôlé par Axelar et que les demandes de rachat dépassent le montant disponible en dépôt.

Ces prérequis étant ignorés, letracacceptait tous les paquets IBC malveillants comme valides si l'identifiant du jeton figurait dans la liste blanche.

De faux paquets IBC ont créé des jetons enveloppés non garantis

Selon l'analyse de Common Prefix, l'attaquant a créé une blockchain Cosmos minimale avec un seul validateur, a ouvert un nouveau canal IBC vers Secret Network et a envoyé de faux paquets de dépôt par cette voie.

Letracvulnérable a reçu les paquets et créé des jetons encapsulés non adossés sur Secret. L'attaque s'est poursuivie par l'échange des jetons encapsulés via le mécanisme Axelar approprié, vidant ainsi les comptes séquestres contenant les actifs pontés.

Common Prefix a affirmé que letracne vérifiait pas le canal IBC d'où provenaient les jetons. Cela a permis aux paquets malveillants envoyés via la chaîne contrôlée d'être acceptés comme une opération de pont valide.

Le problème semble exister depuis longtemps. Common Prefix tracl'origine de la validation manquante jusqu'aux premières modifications publiques de 2023 et a indiqué qu'une migration de mars 2026 avait conservé la même logique au lieu de corriger la faiblesse sous-jacente.

La défaillance structurelle résidait dans l'authentification des messages. Le système supposait que les composants en amont géreraient l'authentification, mais cette hypothèse s'est avérée fausse avec la configuration de routage de l'attaquant. Par conséquent, des messages falsifiés pouvaient transiter lorsque les conditions du canal et du jeton étaient réunies.

Les services d'urgence isolent la voie concernée

Axelar a déclaré que leur groupe de travail d'urgence avait immédiatement déconnecté la connexion IBC concernée au réseau Secret dès qu'il avaitdentl'dent.

Le groupe a souligné qu'aucune faille n'avait été constatée dans le protocole principal d'Axelar et que le problème restait circonscrit au réseau Secret Network. Axelar a également indiqué être en contact avec les plateformes d'échange et les forces de l'ordre.

Pour les utilisateurs ayant transféré des actifs d'Axelar vers Secret via la voie concernée, le problème immédiat est le rachat. Le compte séquestre étant épuisé, les actifs hébergés sur Secret ne peuvent plus être échangés contre les tokens sous-jacents par ce biais.

La récupération peut également s'avérer plus complexe que lors d'une exploitation classique d'une faille de sécurité sur un pont de blockchain publique, car Secret Network chiffre par défaut les soldes et les transferts. De ce fait, le portefeuille de l'attaquant et les transactions d'exploitation sont plus difficiles à inspecter via les explorateurs de blocs publics standards.

La sécurité des ponts est soumise à un nouveau test de validation

La perte de 4,67 millions de dollars est inférieure à certaines des plus importantes attaques de ponts, mais l'dent reste important car il a touché un point faible bien connu : la validation des messages inter-chaînes.

Comme l' Cryptopolitan a précédemment rapporté, un pont Syscoin a été suspendu ce mois-ci après qu'un attaquant a exploité une faille de validation pour émettre environ 5 milliards de jetons SYS non autorisés. Cet incidentdent à une liste croissante d'exploitations de ponts en 2026.

En février, CrossCurve a perdu environ 3 millions de dollars après que des attaquants ont exploité des vulnérabilités dans les contrats intelligents du protocoletracselon l'analyse post-mortem de Halborn.

L'affaire Secret démontre qu'une seule hypothèse non vérifiée dans l'infrastructure inter-chaînes suffit à provoquer undentde détournement de fonds en fiducie. Il est possible qu'un protocole sous-jacent reste intact tandis que lestracsitués à la périphérie d'un pont peuvent exposer les fonds des utilisateurs.

Axelar et Secret Network ont ​​tous deux indiqué qu'une analyse complète des incidents est en cours. En attendant, la compromission du canal nous rappelle que la sécurité des ponts ne se limite pas au protocole principal, mais concerne également chaquetracintelligent gérant les communications inter-chaînes.