Namada drenata per $600.000: un exploit alla logica IBC spazza via il 99,9% del TVL

Il 19 giugno 2026, Namada, una blockchain di livello 1 focalizzata sulla privacy nell'ecosistema Cosmos, ha subito un exploit che ha prosciugato circa $600.000 in asset dal suo core Multi-Asset Shielded Pool (MASP). L'attacco ha sfruttato una vulnerabilità nella logica di trasferimento IBC del protocollo, consentendo all'attaccante di prelevare asset cross-chain schermati dal pool di privacy. I fondi rubati, inclusi circa 228.517 ATOM, sono stati rapidamente instradati tramite IBC (Inter-Blockchain Communication) verso un indirizzo del Cosmos Hub e svuotati nel giro di poche ore . L'incidente ha spazzato via quasi il 99,9% del valore totale bloccato (TVL) del protocollo, riducendolo da circa $600.000 a soli $598 . Questo articolo fornisce un'analisi dettagliata e verificata delle fonti sulla causa dell'exploit, il routing dei fondi, la risposta del team e le più ampie implicazioni per la sicurezza delle blockchain privacy e dell'ecosistema Cosmos.

Qual è stata la causa dell'exploit

Il database SlowMist Hacked classifica l'attacco come una Vulnerabilità del Protocollo derivante da un Exploit della Logica di Trasferimento IBC . L'attaccante ha preso di mira il Multi-Asset Shielded Pool (MASP) di Namada, prosciugando asset tra cui ATOM, USDC, OSMO, TIA, NYM e altri .

Un dettaglio cruciale è che l'exploit è stato inizialmente difficile da rilevare perché un indicizzatore obsoleto continuava a mostrare i fondi come disponibili per gli utenti, mentre le query RPC live sulla chain stessa mostravano saldi pari a zero. In sostanza, l'interfaccia utente travisava lo stato sulla chain, rendendo la perdita invisibile dalle normali viste del dashboard finché non veniva eseguita una query diretta sulla chain .

Come sono stati instradati i fondi rubati

I dati on-chain rivelano che l'attaccante ha sfruttato la vulnerabilità IBC per prelevare asset schermati cross-chain . Circa 228.517 ATOM sono stati trasferiti tramite IBC a un indirizzo specifico sul Cosmos Hub . Quell'indirizzo ha ricevuto i fondi il 18 giugno, e gli asset sono stati poi prosciugati nel giro di poche ore attraverso una serie di trasferimenti IBC e molteplici transazioni di prelievo in uscita, lasciando solo un piccolo saldo residuo . L'uso di IBC ha permesso all'attaccante di spostare rapidamente il valore rubato attraverso le chain, complicando gli sforzi di recupero .

Impatto sul Valore Totale Bloccato (TVL)

L'exploit ha di fatto cancellato quasi tutto il valore dal pool di privacy principale di Namada. Secondo molteplici rapporti, il TVL di Namada è crollato da circa $600.000 a soli $598 dopo l'attacco . Ciò rappresenta una distruzione di circa il 99,9% del valore del pool schermato del protocollo, una perdita catastrofica per un protocollo che si era posizionato come "hub di asset schermati" per l'ecosistema Cosmos .

La risposta del team di Namada

Il team di Namada ha risposto pubblicamente su più fronti:

• Riconoscimento Pubblico: Il 20 giugno, il team ha pubblicato su X (ex Twitter): "C'è stato un exploit nel protocollo Namada. Stiamo indagando sul problema e stiamo coinvolgendo le parti interessate" .
• Indagine e Coordinamento: Il team ha avviato un'indagine completa e ha dichiarato di coordinarsi con molteplici agenzie di sicurezza per determinare la causa esatta e l'impatto .
• Appello White-Hat: Il team ha chiesto all'attaccante di farsi avanti, scrivendo: "Se sei il white-hat hacker dietro questo exploit, ti preghiamo di contattarci" . Il team ha notato che questo avrebbe aiutato a "individuare la falla e accelerare la risoluzione" .
• Valutazione di un Aggiornamento della Blockchain: I rapporti indicano che il team ha iniziato a valutare un aggiornamento della chain per affrontare la vulnerabilità e prevenirne la ricorrenza .
• Avviso agli Utenti: Il team ha consigliato agli utenti di astenersi dall'interagire con il protocollo mentre l'indagine era in corso .

Preoccupazioni di sicurezza più ampie

L'exploit di Namada solleva significative preoccupazioni sia per i progetti blockchain focalizzati sulla privacy che per l'ecosistema Cosmos nel 2026.

Per i progetti blockchain che preservano la privacy

• Superfici di attacco opache: La stessa caratteristica che rende prezioso il MASP—schermare i dati delle transazioni—rende anche più difficile rilevare attività anomale in tempo reale. Il punto cieco dell'indicizzatore obsoleto (dove l'interfaccia mostrava fondi già spariti) è un esempio concreto di come gli strumenti di privacy possano mascherare l'esecuzione di un exploit da operatori e utenti .
• Superficie di audit complessa: L'exploit della logica di trasferimento IBC ha preso di mira l'intersezione tra privacy (pool schermati) e interoperabilità (IBC), una superficie di attacco complessa che i tradizionali audit di smart contract potrebbero non coprire completamente .
• Presupposti di fiducia negli indicizzatori: Affidarsi agli indicizzatori piuttosto che allo stato live della chain per la visualizzazione del saldo crea pericolosi gap di latenza che gli attaccanti possono sfruttare prima che qualcuno se ne accorga .

Per l'ecosistema Cosmos nel 2026

• Una serie di fallimenti di sicurezza: L'exploit di Namada fa parte di una serie di incidenti di sicurezza nell'ecosistema Cosmos nel giugno 2026. Solo un giorno prima (19 giugno), il bridge di Secret Network è stato prosciugato di $4,67 milioni tramite un exploit del bridge Axelar, aggravando le preoccupazioni sui rischi di sicurezza cross-chain attraverso le chain connesse via IBC .
• IBC come arma a doppio taglio: La stessa interoperabilità che rende potente Cosmos—il movimento istantaneo di asset cross-chain—è stata usata qui per far uscire rapidamente i fondi rubati attraverso le chain, rendendo il recupero più difficile .
• Percezione del rischio per la DeFi privacy: L'hack di Namada, arrivato così vicino al drenaggio del bridge di Secret Network, solleva seri interrogativi sul fatto che i progetti focalizzati sulla privacy nell'ecosistema Cosmos siano presi di mira specificamente o stiano semplicemente ereditando debolezze di sicurezza IBC sistemiche .
• Fragilità dei protocolli a basso TVL: La perdita quasi totale del TVL (~$600K a $598) in un singolo exploit sottolinea quanto siano fragili i protocolli di privacy di piccole e medie dimensioni quando esiste una singola vulnerabilità critica .