A ponte cruzada da Secret Network para Axelar foi suspensa depois que um invasor explorou uma falha de cunhagem de anos em um contrato CW20-ICS20 para drenar US$ 4,67 milhões em tokens embalados ao longo de sete dias não detectados. A exploração ocorreu de 10 a 17 de junho, drenou sete ativos envolvidos no Axelar e gerou uma disputa entre as duas equipes sobre a responsabilidade contratual.
A ponte cruzada da Secret Network para a Axelar foi suspensa depois que um invasor explorou uma falha de cunhagem de anos atrás para drenar US$ 4,67 milhões em tokens embrulhados ao longo de sete dias não detectados.
Ambas as equipes divulgaram o incidente em 19 de junho, confirmando que aproximadamente US$ 4,67 milhões em ativos foram retirados da conexão Axelar-to-Secret IBC da ponte. O ataque em si começou em 10 de junho, mas passou despercebido por sete dias, até que uma transferência rotineira entre cadeias falhou porque a conta de garantia da ponte havia se esgotado.
Falha de Cunhagem
A vulnerabilidade residia em um contrato inteligente CW20-ICS20 modificado implantado na Rede Secreta para a conexão da ponte Axelar. A empresa de pesquisa de segurança Common Prefix publicou um detalhamento técnico do incidente, descobrindo que duas verificações críticas de validação foram comentadas na função de recebimento de pacotes do contrato: uma que deveria ter verificado as denominações de tokens recebidos em relação ao canal de origem legítimo e outra que deveria ter limitado as saídas a valores genuinamente mantidos em depósito.
A falha data da implantação inicial do contrato em março de 2023 e sobreviveu a uma migração em 5 de março de 2026 que atualizou o bytecode para novos recursos, mas preservou as verificações ausentes. A criptografia de transação padrão da Secret Network obscureceu a crescente escassez de observadores na rede; o ataque durou sete dias antes que uma transferência fracassada viesse à tona.
Para explorar a lacuna, o invasor criou uma cadeia Cosmos SDK de validador único e abriu um novo canal IBC para a Secret Network. A criação de canais IBC não tem permissão por design, o que significa que qualquer cadeia pode iniciar uma conexão. O invasor auto-retransmitiu pacotes IBC forjados carregando denominações simples que correspondiam à lista de permissões da ponte. Com a falta de ambas as verificações de validação, o contrato cunhou tokens empacotados sem respaldo no Secret. O invasor então resgatou esses tokens cunhados através do canal Axelar legítimo para drenar os ativos reais garantidos do outro lado.
Sete fichas drenadas
Os ativos adquiridos foram sete tokens embalados pela Axelar: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB e sawstETH. De acordo com os relatórios da KuCoin, o Common Prefix rastreou os ativos roubados por meio de Osmosis e Ethereum. Ambas as equipes disseram que estão entrando em contato com bolsas relevantes e agências de aplicação da lei.
Aproximadamente US$ 600.000 dos ativos drenados foram depositados pelos usuários em contratos inteligentes do Protocolo Shade. Shade não implantou os contratos explorados. O contribuidor do ecossistema CarterWoetzel escreveu no fórum Shade que as salvaguardas no nível da ponte eram “o local apropriado para detectar e interromper esta classe de ataque, e isso não aconteceu aqui”.
Responsabilidade Disputada
Ambas as equipes emitiram uma divulgação conjunta e disseram que estão interagindo com bolsas e autoridades policiais. O fórum do Shade Protocol observou que as discussões sobre recuperação de fundos são lideradas pela Secret e pela Axelar, como as partes que controlam a infraestrutura afetada.
A Axelar afirmou que o problema estava isolado do contrato inteligente ICS-20 do lado secreto e que nenhuma outra conexão IBC ou integrações da Axelar foram afetadas. A Axelar esclareceu separadamente que o contrato explorado “não foi desenvolvido, implantado ou mantido” por sua equipe. A divulgação da Secret Network colocou a falha nos contratos vinculados à integração da Axelar. Nenhuma das partes publicou uma autópsia completa até 22 de junho.
O Comitê de Emergência da Axelar desativou as conexões de ponte Secreta e Secreta-SNIP após a divulgação. O roteador cross-chain Squid também removeu o suporte Secret Network de seu frontend. O relatório Common Prefix continua sendo o relato público mais detalhado da falha.
Preço SCRT
O token SCRT da Secret Network foi negociado a US$ 0,0558 no momento em que este artigo foi escrito, uma queda de 33% em relação aos 30 dias anteriores e perto de seu mínimo histórico de US$ 0,0553. O AXL da Axelar foi negociado a US$ 0,0426, queda de 29% no mesmo período. A suspensão da ponte deixa o SCRT com rotas limitadas de liquidez entre cadeias enquanto ambas as equipes concluem sua investigação.
((chartBlock BINANCE:SCRTUSDT))
Fontesthedefiant
