Axelar与Secret Network桥接遭攻击:无限铸币漏洞致损467万美元
6月19日,区块链项目Axelar团队披露了连接其网络与Secret Protocol的跨链桥被攻击的细节。攻击者利用名为"无限铸造"(infinite mint)的关键漏洞,盗取了价值约467万美元的数字资产。值得注意的是,这起盗窃案在七天内未被发现——这表明Secret链上的监控系统响应不够及时。
根据Axelar首席开发团队Common Prefix的分析,漏洞存在于部署在Secret Network端的ICS-20智能合约中,该合约属于Cosmos的IBC连接。该算法本应用于创建资产的"封装"版本(saToken),但并未验证传入交易来自哪个通道。这使得攻击者能够伪造存款,并在没有实际抵押的情况下发行代币。由于操作无需许可,黑客在Cosmos上启动了自己的单验证者链,并从中发送带有虚假资产面额的数据包。
Axelar紧急委员会迅速断开了Secret和Secret-SNIP的连接,以阻止新的未经授权转账。团队已与交易所和执法机构协调,追踪资金并寻求追回可能。需要强调的是:此次事件仅影响saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH代币。Axelar主协议、其他IBC连接以及Secret Network的原生资产均未受影响。
尽管发生了盗窃事件,Secret代币(SCRT)的价格在短时间内飙升近6%,达到0.06美元。经过回调后,该资产交易价约为0.058美元,日涨幅仍保持在3%左右。市值约为2000万美元。而在2021年10月的历史最高点,SCRT曾达到10.64美元——比当前报价高出99.5%。市场对此次黑客事件的反应看似矛盾,但可能与补偿预期或新闻引发的短期炒作有关。
我的专家评论: 这起事件再次提醒我们,"无限铸造"漏洞仍是跨链桥最危险的威胁之一。ICS-20合约中缺乏对传入交易来源的验证,是基础性的设计错误,本应在审计阶段被发现。对投资者而言,这是一个信号:即使是拥有强大团队的大型项目也无法免受此类攻击,风险分散不仅是一项建议,更是一种必要。