Axelar与Secret Network桥接漏洞:无限铸币漏洞造成467万美元损失
6月19日,区块链基础设施Axelar确认了连接Secret Network协议的跨链桥遭黑客攻击。攻击者利用名为"无限铸造"(infinite mint)的关键漏洞,窃取了约467万美元的资产。
值得注意的是,此次盗窃行为在七天内未被察觉。这表明跨网络交易监控的复杂性,以及部署更先进的早期异常检测系统的必要性。
攻击机制:通道伪造与虚假存款
根据Common Prefix开发团队的分析,漏洞存在于Secret Network一侧的ICS-20智能合约中,该合约通过IBC连接在Cosmos生态系统中运行。核心问题在于缺乏对传入通道的验证:合约在创建资产包装版本(saToken)时,未检查交易来自哪个具体通道。
这使得攻击者能够伪造存款。他启动了一条仅含一个验证者的Cosmos自有链,并开始发送带有虚假资产面额的数据包。由于该操作无需许可,攻击者可以在没有任何实际抵押品的情况下无限铸造代币。
应对措施与影响
Axelar紧急委员会迅速切断了Secret和Secret-SNIP的连接,以阻止进一步的未经授权转账。团队正与交易所及执法机构协调,追踪并争取追回资金。
需要强调的是:此次事件仅影响特定代币——saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH。Axelar主协议、其他IBC连接以及Secret Network的原生资产均未受影响。
市场反应:反常上涨
尽管遭遇盗窃消息,Secret原生代币SCRT价格却意外上涨近6%,达到0.06美元。经过回调后,该资产目前交易价格约为0.058美元,日内涨幅仍维持在3%左右。市值约为2000万美元。
但需指出,与2021年10月的历史高点(10.64美元)相比,SCRT已下跌99.5%。当前上涨更可能是超卖或投机情绪引发的短期反弹,而非基本面复苏的信号。
专家观点:此次事件再次提醒我们,跨链桥智能合约漏洞仍是DeFi生态系统最危险的威胁之一。缺乏对传入数据包通道的验证是设计阶段的严重失误,本可通过更严格的审计发现。尽管市场以SCRT上涨作出反应,但从长期来看,若此类漏洞未能在系统层面得到修复,跨链桥解决方案可能面临信任危机。