Token collegati ad Axelar per un valore di 4,67 milioni di dollari sottratti a causa di un exploittracSecret Network

Secondo quanto dichiarato da Axelar il 19 giugno, token per un valore di circa 4,67 milioni di dollari sono stati sottratti da Secret Network dopo che un hacker ha sfruttato uno smarttracbasato su ICS-20 utilizzato per facilitare i trasferimenti cross-chain.

L'dent ha messo in luce un'ulteriore debolezza nell'infrastruttura di collegamento tra le blockchain basate su Cosmos, ma Axelar ha affermato che il problema era circoscritto altracintelligente ICS-20 lato Secret utilizzato nella connessione Cosmos IBC tra Secret e Axelar. L'azienda ha dichiarato che il protocollo principale di Axelar, le altre connessioni IBC, le altre blockchain e gli altri conti di deposito a garanzia non sono stati interessati.

Gli asset rubati erano token trasferiti da Axelar a Secret Network, una blockchain incentrata sulla privacy e realizzata con Cosmos SDK. Secondo la società di ricerca sulla sicurezza blockchain Common Prefix, l'attaccante ha sfruttato untractoken CW20-ICS20 modificato su Secret e ha rubato circa 4,67 milioni di dollari in sette asset, tra cui USDT, USDC, DAI, WETH, WBTC,BNBe wstETH.

Il difetto deltraclato segreto prosciuga le risorse collegate da Axelar

CW20-ICS20 modificato,tracSecondo quanto riportato da Binance Square,

Questotracè stato utilizzato per generare versioni "wrapped" dei token collegati ad Axelar dopo che gli utenti avevano depositato i propri token in Secret utilizzando il protocollo IBC. Tuttavia, iltracnon verificava due prerequisiti importanti: se i trasferimenti di token fossero effettivamente stati avviati tramite un canale IBC autentico controllato da Axelar e se le richieste di riscatto superassero la somma disponibile in deposito.

Ignorando questi prerequisiti, iltracaccettava tutti i pacchetti IBC dannosi come validi se l'ID del token era presente nella lista consentita.

Pacchetti IBC falsi creati token incapsulati senza supporto

Secondo l'analisi di Common Prefix, l'attaccante ha creato una blockchain Cosmos minimale con un singolo validatore, ha aperto un nuovo canale IBC verso Secret Network e ha inviato pacchetti di deposito falsi attraverso tale canale.

Iltracvulnerabile ha ricevuto i pacchetti e creato token wrapper non garantiti su Secret. L'attacco è proseguito riscattando i token wrapper tramite l'apposito meccanismo Axelar, svuotando i conti di deposito a garanzia contenenti asset reali collegati.

Common Prefix sosteneva che iltracnon verificava da quale canale IBC provenissero i token. Ciò consentiva ai pacchetti dannosi inviati tramite la catena controllata di essere accettati come operazioni di bridge corrette.

Il problema sembra esistere da tempo. Common Prefix tracricondotto la mancata convalida ai primi commit pubblici del 2023 e ha affermato che una migrazione del marzo 2026 ha mantenuto la stessa logica anziché eliminare la debolezza sottostante.

Il problema strutturale risiedeva nell'autenticazione dei messaggi. Il sistema presupponeva che i componenti a monte si sarebbero occupati dell'autenticazione, ma tale presupposto non era valido con la configurazione di routing dell'attaccante. Di conseguenza, i messaggi contraffatti potevano essere trasmessi quando le condizioni del canale e del token coincidevano.

L'intervento di emergenza isola il percorso interessato

Axelar ha dichiarato che la sua task force di emergenza ha disconnesso immediatamente il relativo collegamento IBC a Secret Network non appenadentl'dent.

Il gruppo ha sottolineato che non si è verificata alcuna violazione del protocollo principale di Axelar e che il problema è rimasto circoscritto alla sola rete segreta. Axelar ha inoltre affermato di essere in contatto con gli exchange e le forze dell'ordine.

Per gli utenti che hanno trasferito asset da Axelar a Secret tramite il canale interessato, il problema immediato è il riscatto. Con il conto di deposito a garanzia svuotato, gli asset incapsulati su Secret non possono più essere riscattati per i token sottostanti tramite tale canale.

Il recupero potrebbe inoltre risultare più complicato rispetto a un tipico exploit di tipo bridge su blockchain pubbliche, poiché Secret Network crittografa saldi e trasferimenti per impostazione predefinita. Ciò significa che il portafoglio dell'attaccante e le transazioni di exploit sono più difficili da ispezionare tramite i normali esploratori di blocchi pubblici.

La sicurezza del ponte deve affrontare un'ulteriore prova di validazione

La perdita di 4,67 milioni di dollari è inferiore a quella di alcuni dei più grandi attacchi hacker ai bridge, ma l'dent è comunque rilevante perché ha colpito un punto debole ben noto: la validazione dei messaggi tra diverse blockchain.

Come Cryptopolitan riportato in precedenza, un bridge Syscoin è stato sospeso questo mese dopo che un hacker ha sfruttato una falla di validazione per coniare circa 5 miliardi di token SYS non autorizzati. Questo incidentedent aggiunge a una lista crescente di exploit di bridge nel 2026.

A febbraio, CrossCurve ha perso circa 3 milioni di dollari a seguito dello sfruttamento di vulnerabilità nei contratti intelligenti del protocollo da parte di hackertracsecondo l' analisi post-mortem di Halborn.

Il caso Secret dimostra che anche una sola ipotesi non considerata nell'infrastruttura cross-chain è sufficiente a causare un incidente di furto di fondi da un interodentdi garanzia. È possibile che un protocollo sottostante rimanga intatto, mentre itracche si trovano ai margini di un bridge possono comunque esporre i fondi degli utenti.

Sia Axelar che Secret Network hanno dichiarato di aver avviato un'analisi completa dell'accaduto. Nel frattempo, il canale compromesso serve da monito: la sicurezza del bridge non riguarda solo il protocollo principale, ma anche ogni smarttracche gestisce le comunicazioni tra le blockchain.