「无限铸造」漏洞:Axelar 桥与 Secret Network 遭黑客攻击,损失 467 万美元

6月19日,区块链项目Axelar正式确认其与Secret Network协议相连的跨链桥遭到攻击。攻击者利用名为"无限铸造"(infinite mint)的关键漏洞,成功盗取了约467万美元的资金。
Axelar的主要开发团队Common Prefix对事件进行分析后发现,漏洞存在于Secret Network侧ICS-20智能合约中,该合约位于Cosmos生态系统的IBC连接内。该合约负责创建资产的"封装"版本(saToken),但未验证传入交易来自哪个通道。这一缺陷使攻击者能够伪造存款,并在没有任何实际抵押的情况下发行代币。
此次盗窃在七天内未被察觉。在此期间,黑客在Cosmos中启动了自己的链,仅设有一个验证节点,并利用操作权限缺失的漏洞,从该链发送带有虚假资产面额的数据包。
Axelar紧急委员会立即断开了Secret和Secret-SNIP连接,以防止进一步的未经授权转账。目前,团队正与交易所及执法机构协调,追踪被盗资金并争取追回。值得注意的是,此次事件仅影响saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH代币。Axelar主协议、其他IBC连接以及Secret Network的原生资产均未受影响。
尽管发生如此严重的事件,市场反应却并不一致。Secret代币(SCRT)价格一度飙升近6%,达到0.06美元。经过回调后,该资产目前交易价格约为0.058美元,日涨幅仍保持在3%左右。项目市值约为2000万美元。在2021年10月的历史高点,SCRT曾达到10.64美元——当前价格较峰值下跌了99.5%。
专家评论:此次黑客攻击是一个典型例子,说明即使在Cosmos这样成熟的生态系统中,智能合约逻辑中的简单错误也可能导致数百万美元的损失。缺乏对传入交易通道的验证是一个本应在审计阶段就被发现的漏洞。对社区而言,这再次敲响警钟:跨链桥的安全性仍是DeFi中最脆弱的环节之一,投资者在评估资产时应充分考虑这些风险。