Likvidace MASP poolu Namady: exploit IBC logiky připravil protokol o 99,9 % hodnoty

19. června 2026 postihl blockchain Namada, vrstvu 1 zaměřenou na ochranu soukromí v ekosystému Cosmos, exploit, který z jeho stěžejního Multi-Asset Shielded Poolu (MASP) odčerpal přibližně 600 000 dolarů v aktivech. Útok zneužil zranitelnost v převodní logice protokolu IBC (Inter-Blockchain Communication), což útočníkovi umožnilo vyprázdnit stíněná aktiva z privacy poolu. Odcizené prostředky – včetně zhruba 228 517 ATOMů – byly rychle přesměrovány přes IBC na adresu na Cosmos Hubu a během několika hodin vyčištěny . Incident prakticky smazal 99,9 % celkové hodnoty uzamčené v protokolu (TVL), která klesla z přibližně 600 000 dolarů na pouhých 598 dolarů . Tento článek přináší zdrojově ověřený rozbor příčiny exploitu, cesty odcizených prostředků, reakce týmu a širších bezpečnostních důsledků pro blockchainy zaměřené na soukromí a ekosystém Cosmos.

Co způsovilo exploit

Databáze napadených protokolů SlowMist Hacked klasifikuje útok jako Zranitelnost protokolu vyplývající z Exploitu logiky IBC převodů . Útočník se zaměřil na Multi-Asset Shielded Pool (MASP) Namady a odčerpal z něj aktiva včetně ATOM, USDC, OSMO, TIA, NYM a dalších .

Klíčovým detailem je, že zpočátku bylo obtížné exploit odhalit, protože zastaralý indexér (stale indexer) nadále zobrazoval prostředky jako dostupné, zatímco živé RPC dotazy na samotném blockchainu ukazovaly nulové zůstatky. Uživatelské rozhraní tak zkreslovalo skutečný stav na řetězci, a ztráta zůstala při běžném prohlížení dashboardů neviditelná až do okamžiku, kdy byl proveden přímý dotaz na blockchain .

Cesta odcizených prostředků

Data z blockchainu odhalují, že útočník zneužil zranitelnost IBC k převedení stíněných aktiv napříč řetězci . Přibližně 228 517 ATOMů bylo převedeno přes IBC na konkrétní adresu na Cosmos Hubu . Tato adresa obdržela prostředky 18. června a aktiva byla během několika hodin vyčerpána sérií IBC převodů a několika odchozími výběrovými transakcemi, přičemž na adrese zůstal jen nepatrný zůstatek . Využití IBC umožnilo útočníkovi rychle přesunout odcizenou hodnotu napříč řetězci, což značně zkomplikovalo snahy o její navrácení .

Dopad na celkovou hodnotu uzamčenou v protokolu (TVL)

Exploit prakticky vymazal veškerou hodnotu z hlavního privacy poolu Namady. Podle několika zpráv se TVL Namady po útoku propadla z přibližně 600 000 dolarů na pouhých 598 dolarů . To představuje zhruba 99,9% zničení hodnoty stíněného poolu protokolu, což je katastrofální ztráta pro projekt, který se profiloval jako „centrum stíněných aktiv“ pro ekosystém Cosmos .

Reakce týmu Namada

Tým Namady reagoval na několika frontách:

• Veřejné přiznání: 20. června tým zveřejnil na síti X (dříve Twitter): „Došlo k exploitu v protokolu Namada. Záležitost vyšetřujeme a zapojujeme příslušné strany“ .
• Vyšetřování a koordinace: Tým zahájil důkladné vyšetřování a uvedl, že koordinuje postup s několika bezpečnostními agenturami, aby zjistil přesnou příčinu a dopad incidentu .
• Výzva white hat hackerovi: Tým vyzval útočníka, aby se přihlásil: „Pokud jste white hat hacker stojící za tímto exploit, kontaktujte nás prosím“ . Tým uvedl, že by to pomohlo „přesně určit chybu a urychlit řešení“ .
• Zvažování upgradu blockchainu: Zprávy naznačují, že tým začal vyhodnocovat možnost upgradu řetězce, který by zranitelnost odstranil a zabránil jejímu opakování .
• Doporučení uživatelům: Tým doporučil uživatelům, aby po dobu vyšetřování s protokolem neinteragovali .

Širší bezpečnostní obavy

Exploit Namady vyvolává významné obavy jak ohledně designu blockchainů zaměřených na soukromí, tak ohledně bezpečnosti ekosystému Cosmos v roce 2026.

Pro blockchainy zaměřené na ochranu soukromí

• Neprůhledné útočné plochy: Samotná funkce, která činí MASP cenným – stínění transakčních dat – zároveň ztěžuje detekci anomální aktivity v reálném čase. Slepá skvrna zastaralého indexéru (kde UI ukazovalo prostředky, které již byly pryč) je konkrétním příkladem toho, jak nástroje pro ochranu soukromí mohou maskovat provedení exploitu před operátory a uživateli .
• Komplexní plocha pro audit: Exploit logiky IBC převodů se zaměřil na průsečík soukromí (stíněné pooly) a interoperability (IBC), což je komplexní útočná plocha, kterou tradiční audity smart kontraktů nemusí plně pokrýt .
• Předpoklady důvěry v indexéry: Spoléhání se na indexéry namísto živého stavu blockchainu pro zobrazení zůstatků vytváří nebezpečné latenční mezery, které mohou útočníci zneužít dříve, než si jich kdokoli všimne .

Pro ekosystém Cosmos v roce 2026

• Vzorec bezpečnostních selhání: Exploit Namady je součástí série bezpečnostních incidentů v ekosystému Cosmos v červnu 2026. Pouze den předtím (19. června) došlo k vyčerpání bridge Secret Network o 4,67 milionu dolarů prostřednictvím exploitu bridge Axelar, což znásobilo obavy ohledně bezpečnosti napříč řetězci propojenými přes IBC .
• IBC jako dvousečná zbraň: Stejná interoperabilita, která dělá Cosmos tak výkonným – okamžitý pohyb aktiv napříč řetězci – byla zde použita k rychlému úniku odcizených prostředků, což ztížilo jejich navrácení .
• Vnímání rizika pro privacy DeFi: Hack Namady, přicházející tak těsně po vyčerpání bridge Secret Network, vyvolává vážné otázky, zda jsou projekty zaměřené na soukromí v ekosystému Cosmos cíleně napadány, nebo zda pouze dědí systémové slabiny IBC .
• Křehkost protokolů s nízkým TVL: Téměř úplná ztráta TVL (~600 000 dolarů na 598 dolarů) při jediném exploitu podtrhuje, jak křehké jsou malé a střední privacy protokoly, když v nich existuje jediná kritická zranitelnost .