TechFlowより、6月20日、Axelarの公式アカウントが投稿したところによると、IBCを介してAxelarチェーンからSecret Networkへ橋渡しされた資産に影響を与えるセキュリティインシデントが確認された。約467万米ドル相当のトークンが盗まれた。
現時点での情報では、この問題は、AxelarからSecretへ資産を橋渡しするために使用される、Secret側のICS-20スマートコントラクト(Cosmos IBC接続におけるSecretとAxelar間の接続)に限定されている。
Axelarによると、緊急対応委員会がこのインシデントを検知した直後に、SecretおよびSecret-SNIP接続が無効化された。チームは関係する取引所および法執行機関と連絡を取っている。本件は、IBCを介してAxelarからSecretへ橋渡しされる資産にのみ影響しており、他のIBC接続、Secretトークン、その他のAxelar統合、およびAxelarコアプロトコルには一切影響がない。
また、Common Prefixによる今回のインシデントの分析によると、攻撃者はSecret上で改変されたCW20-ICS20トークンコントラクトに存在する無制限のトークン発行(ミント)脆弱性を悪用し、約467万米ドル相当の資産を窃取した。攻撃者は、単一のバリデータのみを持つ新たなCosmosチェーンを立ち上げ、そのチェーンから自身でIBCパケットをSecretへ自己中継することで、Secret上で任意数量の「Secretラップ」Axelar資産をミントした。当該コントラクトは、着信トークンの送信元IBCチャネルを検証していなかった。最終的に攻撃者はAxelarブリッジを通じて資産を引き出し、Axelarプロトコル自体は損なわれず、リスクが他のチェーンへ拡散することも阻止された。
