Tokens da Axelar avaliados em US$ 4,67 milhões foram drenados em uma exploração detracda Secret Network

Aproximadamente US$ 4,67 milhões em tokens foram perdidos da Secret Network depois que um invasor explorou umtracinteligente baseado em ICS-20 usado para facilitar transferências entre blockchains, de acordo com o comunicado da Axelar de 19 de junho.

Odent expôs outra fragilidade na infraestrutura de ponte que conecta blockchains baseadas em Cosmos, mas a Axelar afirmou que o problema estava isolado aotracinteligente ICS-20 do lado da Secret, usado na conexão IBC Cosmos entre a Secret e a Axelar. A empresa disse que o protocolo principal da Axelar, outras conexões IBC, outras blockchains e outras contas de garantia não foram afetados.

Os ativos roubados eram tokens transferidos da Axelar para a Secret Network, uma blockchain focada em privacidade e construída com o Cosmos SDK. De acordo com a empresa de pesquisa em segurança blockchain Common Prefix, o invasor explorou umtracde token CW20-ICS20 modificado na Secret e roubou cerca de US$ 4,67 milhões em sete ativos, incluindo USDT, USDC, DAI, WETH, WBTC,BNBe wstETH.

Falha notracsecreto drena ativos da Axelar

CW20-ICS20 modificado,tracimplantado na Secret Network para processar transferências IBC recebidas, de acordo com informações resumidas pela Binance Square.

Estetracfoi usado para gerar versões encapsuladas de tokens com ponte Axelar após os usuários depositarem seus tokens na Secret usando o protocolo IBC. No entanto, otracnão verificou dois pré-requisitos importantes: se as transferências de tokens foram realmente iniciadas por meio de um canal IBC autêntico controlado pela Axelar e se as solicitações de resgate excederam o valor disponível em garantia.

Ignorando esses pré-requisitos, otracaceitou todos os pacotes IBC maliciosos como válidos se o ID do token estivesse na lista de permissões.

Pacotes IBC falsos criaram tokens encapsulados sem suporte

De acordo com a análise da Common Prefix, o atacante criou uma blockchain Cosmos minimalista com um único validador, abriu um novo canal IBC para a Secret Network e enviou pacotes de depósito falsos por essa rota.

Otracvulnerável recebeu os pacotes e criou tokens encapsulados sem lastro na rede Secret. O ataque prosseguiu com o resgate dos tokens encapsulados por meio do mecanismo apropriado da Axelar, esvaziando as contas de garantia com ativos reais transferidos.

A Common Prefix alegou que otracnão verificava de qual canal IBC os tokens estavam vindo. Isso possibilitou que pacotes maliciosos enviados pela cadeia controlada fossem aceitos como a operação correta da ponte.

O problema parece existir há muito tempo. A Common Prefix traca falta de validação até commits públicos antigos de 2023 e afirmou que uma migração de março de 2026 manteve a mesma lógica em vez de corrigir a vulnerabilidade subjacente.

A falha estrutural residia na autenticação de mensagens. O sistema pressupunha que os componentes upstream lidariam com a autenticação, mas essa premissa não se sustentava na configuração de roteamento do atacante. Como resultado, mensagens falsificadas conseguiam passar quando as condições do canal e do token estavam alinhadas.

A equipe de resposta a emergências isola a rota afetada

Axelar afirmou que sua força-tarefa de emergência desconectou imediatamente a conexão IBC relevante com a Secret Network assim quedentodent.

O grupo enfatizou que não houve nenhuma violação no protocolo principal da Axelar e que o problema permaneceu restrito à Secret Network. A Axelar também afirmou estar em contato com as corretoras e as autoridades policiais.

Para os usuários que transferiram ativos da Axelar para a Secret através da rota afetada, o problema imediato é o resgate. Com a conta de garantia esgotada, os ativos vinculados à Secret não podem mais ser resgatados pelos tokens subjacentes por meio desse canal.

A recuperação também pode ser mais complicada do que em uma exploração típica de ponte em blockchain pública, porque a Secret Network criptografa saldos e transferências por padrão. Isso significa que a carteira do atacante e as transações exploradas são mais difíceis de inspecionar por meio de exploradores de blocos públicos padrão.

A segurança da ponte enfrenta mais um teste de validação

O prejuízo de US$ 4,67 milhões é menor do que o de alguns dos maiores ataques a pontes de segurança, mas odent ainda é relevante porque atingiu um ponto fraco já conhecido: a validação de mensagens entre cadeias.

Como Cryptopolitan relatado anteriormente, uma ponte Syscoin foi suspensa neste mês depois que um invasor explorou uma falha de validação para cunhar aproximadamente 5 bilhões de tokens SYS não autorizados. Esse incidentedent soma a uma lista crescente de explorações de pontes em 2026.

Em fevereiro, a CrossCurve perdeu cerca de US$ 3 milhões depois que invasores exploraram vulnerabilidades nos contratos inteligentes do protocolotracde acordo com o relatório pós-ataque de Halborn.

O caso Secret demonstra que uma única premissa não abordada na infraestrutura entre cadeias é suficiente para causar umdentde esgotamento total do depósito em garantia. É possível que um protocolo subjacente permaneça íntegro enquanto ostracque se encontram na borda de uma ponte ainda podem expor os fundos dos usuários.

Tanto a Axelar quanto a Secret Network afirmaram que estão compilando uma análise completa do incidente. Até lá, o canal comprometido serve como um alerta de que a segurança da ponte não se resume apenas ao protocolo principal, mas também a todos ostracinteligentes que lidam com as comunicações entre cadeias.