Axelar 通过易受攻击的 CW20-ICS20 合约利用 467 万美元漏洞后禁用秘密网络 IBC 链接

在发现导致约 467 万美元桥接代币被盗的安全事件后，Axelar Network 已禁用其与 Secret Network 的区块链间通信 (IBC) 链接。

据 ChainCatcher 报道，Axelar 确认此次违规行为与 Secret 方 ICS-20 智能合约有关，该智能合约用于 Axelar 和 Secret Network 之间的 Cosmos IBC 连接，用于将资产从 Axelar 转移到 Secret。作为回应，Axelar 的应急委员会在检测到异常情况后立即停用了 Secret 和 Secret-SNIP IBC 连接。

该团队正在积极与相关加密货币交易所和执法机构协调，以减轻该漏洞的影响。

Axelar 强调，其他 IBC 路径、原生 Secret 代币、其他 Axelar 集成以及核心 Axelar 协议仍然不受该事件的影响。

另外，区块链安全公司 Common Prefix 发布了一份分析报告，将该漏洞归因于部署在 Secret Network 上的修改后的 CW20-ICS20 代币合约中的无限铸币漏洞。据报道，攻击者使用单个验证器和自中继 IBC 数据包创建了一条新的 Cosmos 链，以铸造任意数量的秘密包装的 Axelar 资产。

Common Prefix 指出，存在漏洞的合约无法验证传入代币的源 IBC 通道，从而使攻击者能够绕过验证检查。被盗资金随后通过 Axelar 桥被提取。

重要的是，分析得出的结论是 Axelar 本身并未受到损害，并且其协议设计成功地包含了该漏洞，防止其传播到其他连接的链。