Хакер похитил 4,67 млн долларов с моста Axelar Secret Network, используя фальшивый IBC-канал, 10 июня

Злоумышленник воспользовался недостатком валидации канала в модифицированном контракте моста CW20-ICS20 Secret Network и вывел примерно 4,67 миллиона долларов 10 июня. Эксплойт остался незамеченным до 17 июня, когда кроссчейн-перевод не удался из-за истощения средств на эскроу. Злоумышленник использовал одновалидаторную сеть Cosmos, чтобы подделать депозиты и отчеканить токены Secret-wrapped без реального обеспечения, затронув семь токенов, включая saUSDT, saUSDC и saDAI.

Уязвимость существовала с момента первоначального развертывания контракта в начале 2023 года и не была устранена при миграции 5 марта. Secret Network объяснила задержку обнаружения тем, что балансы в сети были зашифрованы, из-за чего невозможно было наглядно мониторить отсутствие залога. Похищенные средства были перемещены в Axelar, затем направлены через Osmosis на Ethereum и обменяны на эфир через CoW Protocol, после чего разделены на депозиты в KuCoin, ChangeNow и HitBTC. Приблизительно 672 тыс. долларов оставались в кошельке злоумышленника в Axelar. Чрезвычайный комитет Axelar отключил затронутые подключения и заявил, что базовый протокол не был скомпрометирован.