TechFlow rapporte qu’Axelar a annoncé, le 20 juin, un incident de sécurité affectant les actifs transférés depuis la chaîne Axelar vers le réseau Secret via le protocole IBC, entraînant le vol d’environ 4,67 millions de dollars de jetons. Selon les informations disponibles à ce jour, le problème est circonscrit au contrat intelligent ICS-20 côté Secret, utilisé pour relier Secret Network à Axelar dans le cadre de la connexion Cosmos IBC entre les deux réseaux.
Axelar indique que son comité d’urgence a immédiatement désactivé la connexion entre Secret et Secret-SNIP dès la détection de l’incident. L’équipe est actuellement en contact avec les bourses concernées ainsi qu’avec les autorités chargées de l’application de la loi. Cet incident ne touche exclusivement que les actifs transférés depuis Axelar vers Secret via IBC ; toutes les autres connexions IBC, les jetons natifs de Secret, les autres intégrations d’Axelar ainsi que le protocole central d’Axelar restent totalement épargnés.
Une analyse complémentaire menée par Common Prefix révèle qu’un attaquant a exploité une vulnérabilité de frappe infinie présente dans une version modifiée du contrat de jeton CW20-ICS20 déployé sur Secret, permettant ainsi de dérober environ 4,67 millions de dollars. L’attaquant a lancé une nouvelle chaîne Cosmos comportant un seul validateur, puis s’est auto-relayé des paquets IBC vers Secret, ce qui lui a permis de frapper sans restriction des actifs Axelar « enveloppés » (wrapped) sur Secret. Ce contrat ne vérifiait pas l’origine des jetons entrants, c’est-à-dire le canal IBC spécifique d’où ils provenaient. L’attaquant a finalement retiré les fonds via le pont Axelar ; le protocole Axelar n’a pas été compromis et a empêché la propagation du risque vers d’autres chaînes.
