加密新闻

21.06.2026
17:17

Axelar与Secret Network桥接漏洞:价值467万美元的“无限铸币”漏洞

6月19日,我记录了一起发生在Axelar与Secret Network协议跨链桥之间的安全事件。攻击者利用一个关键漏洞,盗走了约467万美元。此次攻击的核心是"无限铸造漏洞"——这是跨链基础设施中一个经典但极其危险的攻击向量。

该漏洞在七天内未被发现,这表明相关团队的监控存在不足。根据我的分析,漏洞存在于Secret Network端经过修改的CW20-ICS20合约中,该合约负责处理Cosmos生态系统中的IBC连接。问题在于缺乏对传入交易通道的验证。该合约在创建资产包装版本(saToken)时,并未验证数据究竟来自哪个通道。

攻击者启动了一条仅含一个验证者的自定义Cosmos链,从而能够模拟存款操作,并在没有任何实际资产抵押的情况下发行代币。这使他得以伪造资产面值并转移资金。Axelar紧急委员会迅速切断了Secret与Secret-SNIP的连接,以防止进一步未经授权的转账。目前正在与交易所及执法机构协调,以追踪并争取追回被盗资金。

影响范围与后果

此次事件仅波及saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH代币。Axelar主协议、其他IBC连接以及Secret Network的原生资产均未受影响。然而,这对市场而言仍是一个警示信号。

有趣的是,在黑客攻击消息传出后,Secret代币(SCRT)价格出现短期上涨近6%,达到0.06美元。经过回调后,该资产目前交易价格约为0.058美元,日涨幅仍维持在约3%。其市值约为2000万美元。但值得注意的是,与2021年10月的历史最高点(10.64美元)相比,SCRT已下跌99.5%。

我的专家点评

这起事件再次凸显了跨链桥的系统性问题:即便是一个单一的通道验证错误,也可能导致数百万美元的损失。行业需要转向更可靠的架构,例如零知识证明桥或多层验证的去中心化预言机。而市场一如既往地做出非理性反应——SCRT在黑客攻击事件后上涨,更多反映的是投机兴趣,而非项目的基本面韧性。