Хакер викрав 4,67 млн доларів із Axelar Bridge Secret Network, використавши фейковий IBC-канал 10 червня

Зловмисник використав недолік у валідації каналу, якого бракувало, у модифікованому мостовому контракті CW20-ICS20 Secret Network, щоб вивести приблизно 4,67 мільйона доларів 10 червня. Експлойт не виявили до 17 червня, коли кросчейн-переказ зазнав невдачі через вичерпані активи ескроу. Зловмисник використав одновалідаторний Cosmos-ланцюг, щоб сфальсифікувати депозити й карбувати токени, загорнуті в Secret, без реальних активів, що їх забезпечують; це вплинуло на сім токенів, зокрема saUSDT, saUSDC та saDAI.

Вразливість існувала з моменту першого розгортання контракту на початку 2023 року та не була усунута під час міграції 5 березня. Secret Network пояснила затримку виявлення тим, що зашифровані баланси в мережі перешкоджали видимому моніторингу відсутнього забезпечення. Викрадені кошти перевели в Axelar, маршрутизували через Osmosis до Ethereum і обміняли на ether через CoW Protocol, перш ніж розділити на депозити в KuCoin, ChangeNow і HitBTC. Приблизно 672 000 доларів залишалося в гаманці зловмисника в Axelar. Надзвичайний комітет Axelar вимкнув уражені з’єднання та заявив, що його базовий протокол не був скомпрометований.