攻击者利用 Secret Network 其改造的 CW20-ICS20 桥接合约中缺失的通道校验漏洞,于 6 月 10 日转走了约 467 万美元。该漏洞在 6 月 17 日之前未被发现,当时一次跨链转账因托管资产耗尽而失败。攻击者使用单验证器的 Cosmos 链伪造存款,并铸造 Secret 包装代币,而这些代币没有真实资产作为支撑,影响了包括 saUSDT、saUSDC 和 saDAI 在内的七种代币。
该漏洞自 2023 年初合约首次部署起就已存在,并未在 3 月 5 日的迁移中得到修复。Secret Network 将检测延迟归因于网络上的加密余额,这使得无法对缺失抵押品进行可见监控。被盗资金随后转移至 Axelar,通过 Osmosis 路由到以太坊,并在通过 CoW Protocol 换成 ether 之后,在 KuCoin、ChangeNow 和 HitBTC 分别拆分为存款。约有 67.2 万美元仍留在攻击者的 Axelar 钱包中。Axelar 的紧急委员会禁用了受影响的连接,并表示其核心协议未遭到破坏。
