Axelar遭受与Secret Network的桥接漏洞攻击:因“无限发行”错误导致损失467万美元

6月19日,区块链项目Axelar团队确认,连接其协议与Secret Network的跨链桥遭到黑客攻击。攻击者利用被称为“无限铸币漏洞”(infinite mint bug)的弱点,成功盗走约467万美元。此次攻击在长达七天内未被察觉——对于此类事件而言,这是一个相当长的时间,表明攻击者手段极为高明。
技术细节与攻击向量
据Axelar主要开发者Common Prefix团队专家分析,问题根源在于Secret Network端经过修改的ICS-20智能合约,该合约用于Cosmos生态系统的IBC连接。负责创建资产“封装”版本(saToken)的合约,根本没有验证传入交易来自哪个通道。这一漏洞使攻击者能够伪造存款,并在没有任何实际资产支撑的情况下发行代币。操作无需授权——黑客在Cosmos中启动了自己的单验证者链,从中发送带有虚假资产面额的数据包。
应急响应与事件规模
为应对威胁,Axelar紧急委员会立即断开了Secret和Secret-SNIP的连接,以阻止进一步的未经授权转账。目前,团队正与交易所及执法机构协调,追踪被盗资金并协助追回。需要强调的是,此次事件仅涉及saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH代币。Axelar主协议、其他IBC连接以及Secret Network的原生资产未受影响。
市场反应
尽管事件轰动,Secret Network原生代币SCRT的价格却出现了出人意料的波动。其报价一度飙升近6%,达到0.06美元。经过回调后,该资产交易价格约为0.058美元,日涨幅仍保持在3%左右。SCRT的市值约为2000万美元。作为参考,其历史最高点出现在2021年10月,为10.64美元,较当前水平高出近99.5%。
专家评论: 此次事件再次凸显了跨链解决方案中智能合约审计的极端重要性。“无限铸币”漏洞虽属经典,但正如所见,对桥接协议而言至今仍具威胁。攻击在一周内未被发现,表明需要引入更先进的链上活动监控系统。投资者应牢记:只要桥接协议仍是DeFi中最脆弱的环节,即便是看似保护完善的协议,资金损失的风险也依然存在。