Axelar与Secret Network桥接漏洞:黑客通过“无限增发”窃取467万美元
6月19日,区块链基础设施Axelar确认了一起严重的安全事件,涉及连接其网络与Secret Network协议的跨链桥。攻击者成功盗取了价值约467万美元的数字资产。根据我的分析,此次攻击基于一种经典但危险的漏洞,即"无限铸造"(infinite mint)。
根据Axelar核心开发团队Common Prefix的调查结果,漏洞出现在经过修改的CW20-ICS20智能合约中,该合约负责在Secret Network侧处理与Cosmos IBC连接相关的代币。关键错误在于,该合约未验证传入交易来自哪个具体通道。算法创建了资产的"封装"版本(saToken),但未核实存款来源的合法性。
这使得攻击者能够伪造存款,并开始发行没有实际支撑的代币。由于Cosmos网络上的操作无需许可,黑客启动了自己的侧链(仅含一个验证节点),并从该侧链发送带有任意资产面额的虚假数据包。值得注意的是,此次盗窃在整整七天内未被发现,暴露了监控系统的缺陷。
事件发生后,Axelar紧急委员会迅速断开了Secret和Secret-SNIP的连接,以防止进一步的未经授权转账。目前,团队正与交易所和执法机构协调,追踪被盗资金并寻求可能的追回。
需要强调的是,此次攻击仅涉及有限的代币列表:saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH。Axelar核心协议、其他IBC连接以及Secret Network的原生资产(SCRT)均未受影响。尽管遭遇黑客攻击,市场反应却出人意料:Secret代币(SCRT)价格短暂飙升近6%,达到0.06美元。回调后,该资产交易价格约为0.058美元,仍保持约3%的日涨幅。项目市值约为2000万美元。
作为背景参考:SCRT在2021年10月的历史最高价为10.64美元,较当前报价高出99.5%。此事件让人联想到近期针对L2网络Aztec老旧合约的攻击,6月份两次黑客攻击造成的损失分别为219万美元和215万美元。
我的专家评论:此案例再次严峻地提醒我们,跨链桥的安全性仍是整个行业的"阿喀琉斯之踵"。修改后合约中的"无限铸造"漏洞并非新技术,而是验证传入数据逻辑中的低级错误。攻击持续一周未被发现,这严重质疑了生态系统的审计质量和监控流程。投资者应极其谨慎地对待通过跨链桥的资产,尤其是在波动时期,并牢记即使是备受尊敬的协议也无法幸免于此类事件。