攻擊者利用 Secret Network 經過修改的 CW20-ICS20 代幣橋合約中的缺失通道驗證漏洞,於 6 月 10 日抽走約 466 萬 7000 美元。該漏洞在 6 月 17 日之前未被察覺,直到跨鏈轉帳因託管資產耗盡而失敗。攻擊者使用單一驗證器的 Cosmos 鏈來偽造存款並鑄造 Secret 包裝代幣,讓這些代幣沒有真實資產作為後盾,影響了七種代幣,包括 saUSDT、saUSDC 與 saDAI。
該漏洞自合約於 2023 年初首次部署起就已存在,且未在 3 月 5 日的遷移中獲得修補。Secret Network 將延遲偵測歸因於網路上的加密餘額,這使得無法進行可見的缺失擔保品監控。被盜資金被轉移至 Axelar,經由 Osmosis 轉送到 Ethereum,並透過 CoW Protocol 兌換為以太(ether),之後再在 KuCoin、ChangeNow 與 HitBTC 將其拆分成存款。約有 67 萬 2000 美元仍留在攻擊者的 Axelar 錢包中。Axelar 的緊急委員會停用了受影響的連線,並表示其核心協定未遭到入侵。
