跨链桥Axelar与Secret Network遭黑客攻击:“无限铸币”漏洞致损467万美元

6月19日,区块链基础设施Axelar正式确认了一起涉及连接其网络与Secret Network协议桥梁的安全事件。攻击者利用关键漏洞,盗取了价值约467万美元的资产。此次攻击的核心特点是使用了所谓的“无限铸造”方法,即无需实际抵押即可无限生成代币。
根据Axelar主要开发团队Common Prefix的分析数据,漏洞出现在Secret Network一侧的ICS-20智能合约中,该合约通过Cosmos生态系统中的IBC连接运行。该合约负责创建资产的“封装”版本(saToken),但未验证传入交易来自哪个具体通道。这使得攻击者能够伪造存款,并在没有任何抵押的情况下发行代币。
攻击过程无需权限:黑客在Cosmos中启动了一条仅含一个验证者的自有链,并从该链发送带有虚假资产面额的数据包。值得注意的是,此次盗窃在七天内未被发现,这表明桥梁合约的监控响应速度不足。
Axelar紧急委员会迅速断开了Secret和Secret-SNIP的连接,以阻止进一步的未经授权转账。团队正与交易所和执法机构协调,追踪资金并协助追回。此次事件仅影响saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH代币。Axelar主协议、其他IBC连接以及Secret Network的原生资产未受影响。
尽管发生了盗窃事件,Secret代币(SCRT)的价格却意外上涨:该资产一度飙升近6%,达到0.06美元。经过回调后,SCRT交易价格约为0.058美元,日涨幅仍保持在3%左右,市值约为2000万美元。然而,值得注意的是,在2021年10月的历史最高点,SCRT曾达到10.64美元,较当前报价高出99.5%,这凸显了市场对该项目兴趣的深度衰退。
我的专业评论:此次事件再次提醒我们跨链桥梁的系统性风险,尤其是那些使用未经充分通道验证的修改版合约的桥梁。“无限铸造”漏洞仍是DeFi领域最危险的漏洞之一,且在一周内未被发现,这凸显了部署实时自动化审计系统的必要性。对投资者而言,这是一个信号:只有在仔细检查桥梁架构和安全历史后,才能信任它们。