Axelar与Secret Network桥接遭攻击:黑客利用“无限铸币”漏洞窃取467万美元

6月19日,区块链项目Axelar正式确认其与Secret Network协议连接的跨链桥遭到黑客攻击。攻击者利用名为"无限铸造"(infinite mint)的关键漏洞,成功盗取了约467万美元的资产。值得注意的是,这起盗窃案在整整七天内未被发现,这表明生态系统中的监控响应能力存在不足。
攻击机制:黑客如何绕过防护
据Common Prefix开发团队查明,漏洞存在于部署在Secret Network侧、作为Cosmos IBC连接一部分的ICS-20智能合约中。该合约负责创建资产的"封装"版本(saToken),但并未验证传入交易来自哪个通道。这种验证上的疏忽使攻击者能够伪造存款,并在没有实际资产支撑的情况下发行代币。
为实施攻击,黑客在Cosmos中启动了一条仅含一个验证者的自有链,并从该链发送带有虚假资产面额的数据包。由于操作无需许可,他得以无限制地铸造代币,随后通过跨链桥将其转出。
Axelar的应对与影响范围
Axelar紧急事务委员会迅速切断了Secret和Secret-SNIP的连接,以阻止进一步的未经授权转账。目前,团队正与交易所及执法机构协调行动,追踪被盗资金并寻求可能的追回。
需要强调的是,此次事件仅波及saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH等代币。Axelar主协议、其他IBC连接以及Secret Network的原生资产均未受影响。这限制了损失范围,但并未消除跨链基础设施整体安全性的疑问。
市场未恐慌:SCRT反常上涨
尽管遭遇黑客攻击,Secret(SCRT)代币价格在消息公布后一度飙升近6%,达到0.06美元。经过回调,该资产目前交易价格约为0.058美元,日涨幅仍保持在3%左右。市值约为2000万美元。作为对比,在2021年10月的历史最高点,SCRT曾达到10.64美元,较当前报价高出99.5%。市场似乎将此次事件视为局部问题,并未威胁到项目的基本面。

分析师观点
这一案例再次表明,"无限铸造"漏洞仍是跨链桥面临的最危险威胁之一。缺乏对传入交易来源的验证是一个严重错误,本可在审计阶段加以防范。投资者应更加关注使用修改版合约标准的项目,并要求公开安全审计报告。