Axelar与Secret Network桥接遭攻击:“无限铸币”漏洞致损467万美元

6月19日,区块链基础设施项目Axelar确认,连接其网络与隐私协议Secret Network的桥梁存在严重漏洞并被利用。攻击者成功盗取了约467万美元的资产。该事件在七天内未被发现,凸显了跨链基础设施中此类攻击的检测难度。
根据Axelar主要开发团队Common Prefix的分析,此次漏洞利用是通过Secret Network端一个经过修改的ICS-20智能合约实现的,该合约运行在与Cosmos的IBC连接中。漏洞在于缺乏对传入交易来源通道的验证,使攻击者能够伪造存款并启动“无限铸造”过程——即发行无实际资产支撑的“封装”版本代币(saToken)。
攻击者在Cosmos中部署了自己的单验证者链,从中发送带有虚假面额的交易包。由于该操作无需许可,攻击者得以在漏洞被发现前持续生成无担保代币。
Axelar紧急委员会立即切断了Secret和Secret-SNIP的连接,以阻止进一步的未授权转账。团队正与交易所及执法机构协调,追踪被盗资金并争取追回。
值得注意的是,此次事件仅影响特定资产:saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH。Axelar主协议、其他IBC连接以及Secret Network的原生资产均未受影响。
尽管发生盗窃事件,市场反应却颇为反常:SCRT代币价格一度飙升近6%,达到0.06美元。经过回调后,该资产交易价约为0.058美元,日涨幅仍保持在3%左右。项目市值约为2000万美元。相比之下,2021年10月的历史最高点SCRT曾达到10.64美元,较当前价格高出99.5%。
专家评论
此案例再次凸显了跨链桥梁的根本安全问题:即使采用IBC等标准化协议,接收方网络对传入数据验证不足仍可能导致灾难性后果。行业需要引入更严格的智能合约审计机制和多层通道验证系统,以防止未来类似攻击的重演。