Axelar与Secret Network桥接攻击:价值467万美元的“无限铸造”漏洞
6月19日,区块链项目Axelar正式确认,连接其与Secret Network协议的跨链桥遭到黑客攻击。攻击者利用名为"无限铸造漏洞"的关键安全缺陷,盗走了约467万美元。
分析结果显示,该事件在七天内未被察觉。Axelar核心开发团队Common Prefix发现,漏洞存在于Secret Network侧用于Cosmos生态IBC连接的ICS-20智能合约中。问题在于,算法创建了资产的"包装"版本(saToken),但未验证传入交易来自哪个具体通道。这使得攻击者能够伪造存款,并在无实际资产支撑的情况下发行代币。
由于Cosmos网络的操作无需许可,攻击者启动了一条仅含一个验证节点的自有链。从该链发送包含虚假资产面额的数据包,从而导致了未经授权的代币发行。作为回应,Axelar紧急委员会迅速切断了Secret和Secret-SNIP的连接,以防止进一步转账。目前,团队正与交易所及执法机构协调,追踪被盗资金并寻求追回。
需要强调的是,此次事件仅波及特定资产:saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH。Axelar核心协议、其他IBC连接以及Secret Network的原生资产均未受影响。这表明攻击具有局部性,但并未削弱跨链基础设施中漏洞的严重性。
尽管消息令人震惊,市场却给出了矛盾反应。截至发稿时,Secret代币(SCRT)价格飙升近6%,达到0.06美元。经历小幅回调后,该资产交易价约为0.058美元,日内涨幅仍维持在3%左右,市值约2000万美元。作为对比,2021年10月历史最高点时SCRT价格为10.64美元——比当前报价高出99.5%。这种走势表明,市场可能正在消化团队快速响应的利好,而非黑客事件本身。
Cryptalist专家观点: 此次事件再次提醒我们,跨链桥仍是DeFi中最脆弱的环节。"无限铸造漏洞"是典型的因IBC协议通道验证不足导致的错误。在团队实施更严格的合约级验证机制之前,此类攻击将反复出现。投资者应更加审慎对待通过此类跨链桥的资产,尤其是在高波动时期。