Axelar Network在一份官方声明中披露,一起影响通过IBC桥接从Axelar链至Secret Network转移资产的安全漏洞事件已被发现,约467万美元价值的代币遭到盗窃。根据目前获悉的信息,该事件仅限于Secret Network端的ICS-20智能合约,该合约是Secret与Axelar之间Cosmos IBC通信的核心组件,负责处理资产从Axelar桥接到Secret的流程。针对此事件,Axelar应急委员会立即采取行动,关闭了Secret和Secret-SNIP与Axelar的IBC连接。团队同时正在与相关交易所及全球执法机构协调后续处理。
攻击者通过利用Secret Network上一处修改过的CW20-ICS20代币合约中的无限铸造漏洞实施攻击。攻击者首先自建一个仅包含单一验证者的Cosmos链,并通过自我中继的IBC数据包在Secret Network上发行任意数量的包裹Axelar资产。该漏洞合约未对入站代币来源进行验证,导致攻击者能够无限制地制造资产。最终攻击者通过Axelar桥接退出获取资金。Axelar协议本身未受损害,且该漏洞未蔓延至其他链网络。
该事件仅影响通过IBC桥接从Axelar链至Secret Network的资产转移,其他IBC连接或Secret Network持有的代币均未受影响。此外,Axelar其他生态集成及其核心协议架构均未受威胁。
