Взлом Axelar Network: через IBC-мост в Secret Network похищено $4,67 млн

Mars Finance сообщает, что Axelar Network в публикации в X подтвердил инцидент с активами, переводимыми из Axelar в Secret Network через IBC: злоумышленник похитил токены на сумму около $4,67 млн. По имеющимся данным, проблема ограничена смарт-контрактом ICS20 на стороне Secret — элементом соединения Cosmos IBC между Secret и Axelar, используемого для бриджа активов из Axelar в Secret. После выявления инцидента экстренный комитет Axelar оперативно отключил подключения Secret и SecretSNIP. Команда взаимодействует с профильными биржами и правоохранительными органами. Инцидент затрагивает только активы, отправленные из Axelar в Secret через IBC; другие IBC-соединения и токены Secret, по предварительной оценке, не пострадали. Остальные интеграции Axelar работают штатно, а базовый протокол Axelar не был скомпрометирован. По разбору Common Prefix по инциденту в Secret Network, атакующий воспользовался уязвимостью бесконечного минтинга в модифицированном контракте токена CW20ICS20 на стороне Secret и вывел около $4,67 млн. Для атаки он запустил новую Cosmos-цепочку с единственным валидатором и самостоятельно ретранслировал IBC-пакеты, чтобы выпускать произвольные обёрнутые в Secret активы Axelar. Контракт не проверял исходный IBC-канал входящих токенов. После этого средства были выведены через мост Axelar. Протокол Axelar взломан не был и не допустил распространения атаки на другие сети.