Axelar与Secret Network桥接器中的“无限铸造”漏洞导致损失467万美元
6月19日,我记录了一起发生在Axelar跨链基础设施中的安全事件,涉及连接Secret Network协议的跨链桥。攻击者利用"无限铸造"漏洞,盗取了约467万美元。值得注意的是,这起盗窃案在七天内未被发现,表明攻击者已实现深度渗透。
Common Prefix团队的分析显示,漏洞存在于Secret Network一侧的ICS-20智能合约中,该合约通过IBC连接运行在Cosmos生态系统中。问题在于缺乏对传入交易来源通道的验证,使攻击者能够伪造存款并发行无实际资产支撑的"包装"代币(saToken)。
攻击者更进一步:他在Cosmos中启动了一条仅含一个验证者的自有链,从该链发送包含伪造资产面额的交易包。由于操作无需许可,整个过程实现了完全自动化。Axelar紧急委员会立即断开了Secret和Secret-SNIP连接,以阻止进一步的未经授权转账。目前团队正与交易所和执法机构协调,追踪并追回被盗资金。
需要强调的是,此次事件仅影响特定资产:saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH。Axelar主协议、其他IBC连接以及Secret Network的原生资产均未受影响。这表明攻击具有针对性,而非系统性漏洞。
尽管消息负面,Secret代币(SCRT)价格仍出现短期上涨近6%,达到0.06美元。经过回调后,该资产目前在0.058美元附近交易,日涨幅约3%。市值约为2000万美元。作为参考,SCRT在2021年10月的历史最高价为10.64美元,较当前报价高出99.5%。这表明尽管出现短暂反弹,该资产仍面临长期压力。
我的专业评估:此次事件为整个跨链桥行业再次敲响警钟。尽管此前已发生多起攻击,"无限铸造"类漏洞仍在困扰各类项目。投资者应更审慎评估跨链桥的安全性,尤其是那些使用定制合约的解决方案。虽然Axelar团队反应迅速,但此类解决方案的信任度已受损害。我们期待未来在加强审计和引入攻击预防机制方面采取进一步措施。