Un atacator a extras aproximativ 4,67 milioane de dolari din bridge-ul Axelar al Secret Network, exploatând o vulnerabilitate într-un contract de token personalizat, iar furtul a rămas nedetectat timp de șapte zile, conform unui raport post-mortem publicat vineri de firma de cercetare blockchain și principalul custode Axelar, Common Prefix.

Exploitul a vizat un contract CW20-ICS20 modificat pe Secret, conexiunea care gestionează activele transferate de la Axelar. Contractul a emis versiuni Secret-wrapped ale activelor Axelar-wrapped, cunoscute sub numele de saTokens, fără a verifica din ce canal provenea de fapt un transfer de intrare. Această lacună a permis atacatorului să falsifice depozite și să emită saTokens autentice fără a avea nimic în spate.

Deschiderea unui canal IBC nu necesită permisiune, așa că, printr-o mișcare discutabil de inteligentă, atacatorul a lansat un lanț Cosmos cu un singur validator, a deschis un canal către contractul bridge și a retransmis pachete falsificate care conțineau denumiri de tokenuri ce corespundeau listei albe a contractului. Contractul nu a putut distinge acele denumiri simple de cele care soseau prin canalul real al Axelar, așa că a emis saTokens pe baza lor. Răscumpărarea soldurilor emise înapoi prin canalul legitim Axelar a eliberat apoi activele reale deținute în escrow.

Drenajul a afectat șapte saTokens: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB și sawstETH, conform Common Prefix.

Vulnerabilitatea nu era nouă. Common Prefix a urmărit-o până la implementarea inițială a contractului la începutul anului 2023, iar o migrare din 5 martie care a actualizat codul de octeți pentru noi funcționalități a menținut aceleași verificări lipsă. Atacul din 10 iunie a vizat acel cod migrat.

În propria sa analiză, Secret Network a declarat că contractul bridge a fost adaptat de la un model escrow la un model de emitere (mint) pentru integrarea Axelar și că cele două funcții care ar fi validat sursa unui transfer au fost eliminate în acea refacere. Echipa Secret a adăugat că nu a fost solicitat niciun audit extern de către Axelar ca parte a integrării.

Soldurile din rețea sunt criptate în mod implicit, astfel încât garanția lipsă nu a fost vizibilă on-chain așa cum ar fi un pool golit pe Ethereum. Deficitul a ieșit la iveală abia pe 17 iunie, când un transfer cross-chain normal pe Axelar a eșuat cu o eroare care arăta că contul escrow nu mai deținea suficiente fonduri pentru a-l acoperi. Anchetatorii au urmărit discrepanța până la șapte retrageri efectuate pe 10 iunie.

Secret, însă, a susținut în postarea sa că „niciun mecanism eficient de monitorizare, detectare a anomaliilor sau pauză de urgență nu a fost declanșat în infrastructura bridge-ului Axelar pentru a identifica și opri temporar transferurile neobișnuit de mari sau suspecte înainte ca activele bridge-ului să fie substanțial drenate de la Axelar.”

Această constatare seamănă oarecum cu vulnerabilitatea descoperită recent pe Zcash, o altă rețea criptată, care ar fi putut permite unui hacker să creeze un număr „nelimitat” de tokenuri contrafăcute în cadrul pool-ului. Dezvăluirea vulnerabilității a făcut ca prețul tokenului ZEC să scadă cu peste 30%.

Comitetul de urgență al Axelar a dezactivat conexiunile Secret și Secret-SNIP după descoperire, iar routerul cross-chain Squid a eliminat Secret din interfața sa. Axelar a declarat că protocolul său de bază nu a fost niciodată afectat și că nicio altă rețea, canal sau cont escrow nu a fost atins. Echipa Secret a fost notificată să oprească și să migreze contractul afectat.

Urmărirea Common Prefix arată activele furate ale hackerului retrase către Axelar, rutate prin Osmosis folosind redirecționarea automată a pachetelor, apoi transferate către Ethereum și, în mare parte, schimbate cu ether pe CoW Protocol. Ether-ul a fost împărțit în aproximativ 30 de transferuri către portofele noi înainte de a ajunge în adrese de depozit la KuCoin, ChangeNow și HitBTC.

Ambele tokenuri au înregistrat câștiguri de preț în ultimele 24 de ore, în ciuda dezvăluirii incidentului. AXL-ul Axelar a crescut cu aproximativ 1,3%, conform paginii de preț Axelar de pe The Block, în timp ce SCRT-ul Secret a crescut cu 5,6% în ultima zi la momentul publicării.

Drenajul este cel mai recent dintr-o serie de exploit-uri cross-chain din 2026. În aprilie, un atacator a luat aproximativ 292 de milioane de dolari în rsETH de pe bridge-ul Kelp DAO bazat pe LayerZero, un eveniment mult mai amplu a cărui repercusiune s-a extins și la Aave înainte ca un efort de recuperare al comunității să-l stăpânească.

În postarea sa de pe forum, Secret Network a declarat că aproximativ 770.000 de dolari din fondurile furate au rămas în portofelul atacatorului pe Axelar la momentul postării. Secret a spus că a identificat acele active, le-a marcat ca recuperabile și a cerut echipei Axelar să le înghețe sau să lucreze cu comunitatea sa pentru a face acest lucru, „o cerere pe care au decis să nu o urmărească.” Axelar a declarat separat că se coordonează cu bursele și forțele de ordine și nu a oferit un termen pentru restabilirea conexiunii.

Datele Axelarscan vizualizate de The Block au arătat că portofelul Axelar al atacatorului deținea încă 6,2 WBTC, 239.324 USDC, 64.04 WBNB și 248.85 AXL, în valoare de aproximativ 672.000 de dolari la prețurile din momentul publicării.

Axelar a respins orice interpretare care plasează vina pe partea sa. „Nici Axelar, nici IBC nu au fost compromise”, a scris echipa într-o postare ulterioară. „Contractul inteligent de token exploatat nu a fost dezvoltat, implementat sau menținut de Axelar.” Echipa a declarat că vulnerabilitatea nu se afla în logica specifică Axelar sau în IBC în sine.

The Block nu a putut contacta imediat Axelar sau Secret Network pentru comentarii.