Axelar与Secret Network桥接中的“无限铸造”漏洞:损失467万美元及市场反应
6月19日,区块链项目Axelar团队披露了一起涉及Axelar与Secret Network协议间桥梁被利用的事件。攻击者利用名为"无限铸造"(infinite mint)的关键漏洞,盗取了约467万美元的资产。
根据Axelar首席开发者Common Prefix的分析,漏洞存在于Cosmos生态IBC连接中Secret Network一侧的ICS-20智能合约内。该算法本应用于创建资产的"封装"版本(saToken),但未验证传入交易来自哪个通道,这使得攻击者能够伪造存款并发行无实际支撑的代币。
攻击者在Cosmos中启动了一条仅含一个验证者的自有链,并从该链发送带有虚假资产面额的数据包。此次盗窃持续了七天未被察觉,这凸显了跨链基础设施中此类漏洞的检测难度。
影响范围与应对措施
此次事件仅波及saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH代币。Axelar主协议、其他IBC连接以及Secret Network的原生资产未受影响。Axelar紧急委员会迅速切断了Secret与Secret-SNIP的连接,以阻止新的未授权转账。团队正与交易所及执法机构协调,追踪资金并协助追回。
尽管发生盗窃事件,Secret代币(SCRT)价格一度飙升近6%,达到0.06美元。经过回调后,该资产目前交易于0.058美元附近,日内涨幅仍约3%,市值约为2000万美元。而在2021年10月的历史高点,SCRT曾达到10.64美元,较当前报价高出99.5%。
分析评论
此次事件凸显了跨链桥(尤其是使用修改协议复杂合约的桥梁)存在的根本安全问题。"无限铸造"漏洞是典型例证,说明输入数据验证不足如何导致资产无限增发。然而市场反应出人意料:SCRT短期上涨表明投资者可能将此类攻击视为暂时性故障而非系统性威胁。从长远看,此类事件必然削弱对去中心化金融桥梁的信任,这要求开发者采取更严格的审计与监控措施。