加密新闻

21.06.2026
14:36

Axelar与Secret Network桥接中的“无限铸造”漏洞导致467万美元损失——事件分析

хакеры hackers, перемещение средств 2

6月19日,我作为Cryptalist的分析师,记录了一起影响Axelar与Secret Network协议间跨链桥的严重安全事件。攻击者利用被称为"无限铸造"(infinite mint)的关键漏洞,成功盗取了约467万美元。

根据Axelar主要开发团队Common Prefix提供的数据,该漏洞存在于部署在Secret Network侧的ICS-20智能合约中,该合约属于Cosmos生态系统的IBC(跨区块链通信)连接。该合约负责创建资产的"包装"版本(saToken),如saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH。然而,其逻辑中缺少对传入交易来源的关键验证——合约未核实数据来自哪个具体通道。

攻击是如何实施的

这一漏洞使攻击者能够伪造存款。由于Cosmos网络中的操作无需许可,攻击者启动了一条仅含单个验证者的自有区块链。从这条受控链中,他发送了带有虚假资产面额的数据包,Secret Network上的ICS-20合约将这些数据包视为合法,并铸造了无担保代币。此次盗窃在七天内未被察觉。

反应与后果

Axelar紧急委员会迅速关闭了Secret和Secret-SNIP连接,以阻止新的未经授权转账。各团队正与交易所及执法机构协调,以追踪并可能追回资金。需要强调的是,该事件仅限于上述包装资产。Axelar主协议、其他IBC连接以及Secret Network的原生资产(SCRT)未受影响。

尽管消息令人震惊,但市场反应却出人意料。Secret代币(SCRT)价格一度飙升近6%,达到0.06美元。经过回调后,该资产交易价格约为0.058美元,保持约3%的日涨幅。市值约为2000万美元。同时需提醒的是,在2021年10月的历史最高点,SCRT价格为10.64美元,较当前报价高出99.5%。

我的专家评论: 这起事件再次痛苦地提醒我们,跨链交互的复杂性往往成为DeFi的致命弱点。"无限铸造"漏洞是合约中未验证数据来源的经典错误。尽管团队反应迅速,但盗窃行为整整一周未被发现,这凸显了引入更先进的实时监控和审计系统的必要性。对投资者而言,这是在与任何新型或复杂桥接方案交互时需格外谨慎的信号。