Atakujący ukradł około 4,67 miliona dolarów z mostu Axelar należącego do Secret Network, wykorzystując lukę w niestandardowej umowie tokena, a kradzież pozostała niewykryta przez siedem dni, zgodnie z analizą po incydencie opublikowaną w piątek przez firmę badawczą blockchain i głównego zarządcę Axelar, Common Prefix.

Exploit dotyczył zmodyfikowanego kontraktu CW20-ICS20 w Secret, czyli połączenia obsługującego aktywa przesyłane z Axelar. Kontrakt mintował wersje owiniętych w Secret aktywów owiniętych w Axelar, znane jako saTokeny, bez sprawdzania, z którego kanału faktycznie pochodził przychodzący transfer. Ta luka pozwoliła atakującemu fałszować depozyty i mintować prawdziwe saTokeny bez żadnego pokrycia.

Otwarcie kanału IBC nie wymaga żadnych zezwoleń, więc w sprytnym posunięciu atakujący uruchomił łańcuch Cosmos z pojedynczym walidatorem, otworzył kanał do kontraktu mostu i samodzielnie przekazał sfałszowane pakiety zawierające denominacje tokenów, które pasowały do listy dozwolonych przez kontrakt. Kontrakt nie był w stanie odróżnić tych prostych denominacji od tych przychodzących przez prawdziwy kanał Axelar, więc mintował na ich podstawie saTokeny. Odkupienie wymintowanych sald z powrotem przez legalny kanał Axelar uwolniło następnie rzeczywiste aktywa przechowywane w depozycie.

Wyczerpanie objęło siedem saTokenów: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB i sawstETH, zgodnie z informacjami Common Prefix.

Luka nie była nowa. Common Prefix prześledził ją do początkowego wdrożenia kontraktu na początku 2023 roku, a migracja z 5 marca, która aktualizowała kod bajtowy o nowe funkcje, przeniosła te same brakujące kontrole. Atak z 10 czerwca uderzył w ten migrowany kod.

W swoim własnym oświadczeniu Secret Network podała, że kontrakt mostu został przystosowany z modelu depozytu do modelu mintowania dla integracji z Axelar, a dwie funkcje, które walidowałyby źródło transferu, zostały usunięte w ramach tej przeróbki. Zespół Secret dodał, że Axelar nie zlecił żadnego zewnętrznego audytu w ramach integracji.

Saldo w sieci jest domyślnie zaszyfrowane, więc brakujące zabezpieczenie nie było widoczne w łańcuchu w taki sposób, jak wyczerpana pula byłaby na Ethereum. Niedobór wyszedł na jaw dopiero 17 czerwca, kiedy normalny transfer międzyłańcuchowy na Axelar zakończył się niepowodzeniem z błędem wskazującym, że konto depozytowe nie posiada już wystarczającej ilości środków, aby go pokryć. Śledczy prześledzili tę lukę do siedmiu wypłat dokonanych 10 czerwca.

Secret jednakże argumentowała w swoim poście, że "żadne skuteczne mechanizmy monitorowania, wykrywania anomalii ani awaryjnego wstrzymywania nie zostały uruchomione w infrastrukturze mostu Axelar, aby zidentyfikować i tymczasowo wstrzymać niezwykle duże lub podejrzane transfery, zanim aktywa mostu zostały znacząco wyczerpane z Axelar."

Odkrycie to poniekąd przypomina niedawno odkrytą lukę w Zcash, innej szyfrowanej sieci, która mogłaby pozwolić hakerowi na stworzenie "nieograniczonej" liczby fałszywych tokenów w puli. Ujawnienie tej luki spowodowało spadek ceny tokena ZEC o ponad 30%.

Komitet awaryjny Axelar wyłączył połączenia Secret i Secret-SNIP po odkryciu, a router międzyłańcuchowy Squid usunął Secret ze swojego frontendu. Axelar oświadczył, że jego podstawowy protokół nigdy nie został naruszony i że żadne inne łańcuchy, kanały ani konta depozytowe nie zostały dotknięte. Zespół Secret został powiadomiony o konieczności zatrzymania i migracji dotkniętego kontraktu.

Śledzenie Common Prefix pokazuje, że skradzione aktywa hakera zostały wypłacone do Axelar, skierowane przez Osmosis z wykorzystaniem automatycznego przekierowywania pakietów, następnie przeniesione na Ethereum i w większości wymienione na ether na CoW Protocol. Ether został podzielony na około 30 transferów do nowych portfeli, zanim trafił na adresy depozytowe w KuCoin, ChangeNow i HitBTC.

Oba tokeny odnotowały wzrosty cen w ciągu ostatnich 24 godzin pomimo ujawnienia incydentu. AXL firmy Axelar wzrósł o około 1,3%, według strony The Block's Axelar Price, podczas gdy SCRT Secret Network wzrósł o 5,6% w ciągu ostatniego dnia w momencie publikacji.

Wyczerpanie to najnowszy z serii exploitów międzyłańcuchowych w 2026 roku. W kwietniu atakujący zabrał około 292 milionów dolarów w rsETH z mostu opartego na LayerZero należącego do Kelp DAO, co było znacznie większym wydarzeniem, którego skutki rozprzestrzeniły się na Aave, zanim wysiłek społecznościowy go powstrzymał.

W swoim poście na forum Secret Network podała, że w momencie publikacji około 770 000 dolarów skradzionych środków pozostało w portfelu atakującego na Axelar. Secret stwierdziła, że zidentyfikowała te aktywa, oznaczyła je jako możliwe do odzyskania i zwróciła się do zespołu Axelar z prośbą o ich zamrożenie lub współpracę ze społecznością w tym celu, "o co zrezygnowali z dalszych starań". Axelar osobno oświadczył, że koordynuje działania z giełdami i organami ścigania i nie podał harmonogramu przywrócenia połączenia.

Dane z Axelarscan przeglądane przez The Block wykazały, że portfel Axelar atakującego nadal zawierał 6,2 WBTC, 239 324 USDC, 64,04 WBNB i 248,85 AXL, o wartości około 672 000 dolarów według cen w momencie publikacji.  

Axelar odrzucił wszelkie interpretacje, które przypisują winę za awarię po jego stronie. "Ani Axelar, ani IBC nie zostały naruszone" – napisał zespół w kolejnym poście. "Wykorzystany smart kontrakt tokena nie został opracowany, wdrożony ani utrzymywany przez Axelar." Zespół stwierdził, że luka nie znajdowała się w logice specyficznej dla Axelar ani w samym IBC.

The Block nie był w stanie natychmiast skontaktować się z Axelar ani Secret Network w celu uzyskania komentarza.