Axelar与Secret Network桥接漏洞:价值467万美元的“无限铸造”攻击

6月19日,区块链基础设施项目Axelar正式确认,连接其网络与Secret Network协议的跨链桥遭到攻击。攻击者利用"无限铸造"(infinite mint)漏洞,窃取了约467万美元。
漏洞技术细节
我的分析显示,该事件在七天内未被察觉。根据Axelar首席开发者Common Prefix的数据,漏洞存在于为Secret Network修改的ICS-20智能合约中,该合约用于与Cosmos生态系统的IBC连接。负责创建"封装"资产(saToken)的合约未验证传入交易的来源通道,使攻击者能够伪造存款并发行无担保代币。
由于协议操作无需许可,攻击者启动了一条仅含单个验证者的新Cosmos链,通过该链发送带有虚假资产面额的数据包,实际上凭空"铸造"了代币。
事件规模与应对措施
Axelar紧急事务委员会迅速切断了与Secret Network及Secret-SNIP的所有连接,以防止进一步未经授权的转账。团队已与交易所及执法机构协调追踪资金。需强调的是,此次事件仅影响saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH代币。Axelar主协议、其他IBC连接及Secret Network原生资产均未受影响。
市场反应反常
尽管遭遇盗窃事件,Secret原生代币SCRT价格一度飙升近6%,达到0.06美元。回调后,该资产交易价约为0.058美元,日内涨幅仍维持在3%左右,市值约2000万美元。然而,相较于2021年10月10.64美元的历史高点,SCRT已暴跌99.5%。

此事件再次警示了跨链桥中过时或未经充分测试的智能合约所蕴含的系统性风险。此前6月,黑客曾两次攻击Aztec L2网络的旧版合约,分别造成219万美元和215万美元的损失。
我的专业评估:此次事件是针对桥接解决方案攻击链中的最新一环,而桥接方案仍是DeFi基础设施中最脆弱的环节。缺乏对传入交易通道的验证是粗放但典型的错误。投资者应更审慎对待那些在缺乏严格验证情况下发行封装资产的项目。在Axelar团队提供完整审计及修复方案前,对该桥的信任仍存疑。