攻撃者は、Secret Network の改修済み CW20-ICS20 ブリッジ契約に存在したチャネル検証の欠落(validation flaw)を悪用し、6月10日に約 467万ドルを流出させました。エクスプロイトは、6月17日になって、エスクロー資産が枯渇しているためクロスチェーン転送に失敗するまで検知されませんでした。攻撃者は単一バリデータの Cosmos チェーンを使用して入金を偽造し、実際の裏付け資産のない Secret ラップトトークンを鋳造しました。その結果、saUSDT、saUSDC、saDAI を含む7つのトークンに影響が及びました。
この脆弱性は、2023年初頭の契約初期デプロイ以降存在しており、3月5日の移行では対処されていませんでした。Secret Network は、検知が遅れた理由として、ネットワーク上の暗号化された残高により、不足している担保を目視で監視できなかったことを挙げました。盗まれた資金は Axelar に移され、Osmosis 経由で Ethereum に転送され、CoW Protocol を通じて ether と交換された後、KuCoin、ChangeNow、そして HitBTC で入金(デポジット)に分割されました。約 67万2,000ドルが攻撃者の Axelar ウォレットに残っていました。Axelar の緊急委員会は、影響を受けた接続を無効化し、また自社の中核プロトコルは侵害されていないと述べました。
