Axelar披露Secret Network桥接漏洞:“无限铸造”漏洞造成467万美元损失
6月19日,区块链基础设施项目Axelar正式确认其连接生态系统与Secret Network协议的跨链桥遭遇黑客攻击。攻击者利用名为"无限铸造"(infinite mint)的关键漏洞,盗取了约467万美元的资产。
该事件在七天内未被察觉,凸显了现代L0协议中跨网络交易监控的复杂性。Axelar主要开发团队Common Prefix的分析显示,漏洞存在于Secret Network侧修改后的CW20-ICS20智能合约中,该合约用于Cosmos的IBC(跨区块链通信)连接。
攻击机制与损失规模
核心问题在于处理传入交易时缺乏对发送通道的验证。合约算法在创建资产"封装"版本(saToken)时,未核实存款来自哪个具体通道。这使得攻击者能够部署一条仅含单个验证者的自定义Cosmos链,并从该链发送带有任意资产面额的交易包,实质上是在无真实资产支撑的情况下铸造代币。
此次攻击波及特定资产池:saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH。值得注意的是,Axelar主协议、其他IBC连接以及Secret Network原生资产(SCRT)均未受影响。Axelar紧急委员会迅速切断了Secret和Secret-SNIP连接,以阻止进一步的未授权转账。目前团队正与交易所及执法机构协调,追踪并争取追回被盗资金。
市场反应与背景分析
尽管事件严重,市场反应却出人意料。Secret代币(SCRT)价格一度飙升近6%,触及0.06美元。回调后该资产交易价约0.058美元,24小时内仍保持约3%的涨幅,市值约2000万美元。作为对比,SCRT在2021年10月的历史最高价为10.64美元,较当前报价高出99.5%。此案例再次提醒我们,即便在"熊市"期间,黑客活动也未曾减弱,而跨链基础设施的漏洞仍是攻击的高发点。
我的专家结论是:此次事件再次凸显了在IBC连接中实施智能合约形式化验证及多层审计系统的必要性。在行业尚未标准化通道验证机制并在跨链桥层面引入"零信任"架构之前,此类利用合约基础逻辑漏洞的攻击将反复出现。