Axelar与Secret Network桥接遭黑客攻击:价值467万美元的“无限铸币”攻击
6月19日,区块链基础设施Axelar确认,连接其网络与Secret Network协议的跨链桥存在严重漏洞并被利用。攻击者利用名为"无限铸造"(infinite-mint)的漏洞,盗走了约467万美元。
Axelar核心开发团队Common Prefix的分析显示,漏洞位于Secret Network侧经修改的CW20-ICS20智能合约中,该合约运行于Cosmos的IBC连接框架内。关键错误在于未对传入交易的来源通道进行验证,使攻击者能够创建仅含单个验证者的新Cosmos链,并发送伪造的任意面额资产数据包,实际上"铸造"出无担保的封装代币(saToken)。
值得注意的是,此次盗窃行为在七天内未被察觉。这暴露出跨链桥在链上活动监控方面的不足,对整个跨链解决方案生态系统而言是一个严重警示。
规模与影响
Axelar紧急委员会迅速关闭了Secret与Secret-SNIP的连接,以防止进一步未经授权的转账。目前团队正与交易所及执法机构协调追踪被盗资金。需强调,此次事件仅影响saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH资产。Axelar核心协议、其他IBC连接及Secret Network原生资产均未受影响。
尽管遭遇黑客攻击,市场反应却颇为反常:Secret代币(SCRT)价格短期上涨近6%,触及0.06美元。经过回调后,该资产目前交易价约0.058美元,日内涨幅仍维持在3%左右。项目市值约2000万美元。作为对比,SCRT在2021年10月的历史最高价为10.64美元,较当前报价高出99.5%。
专家点评:此次事件再次警示,跨链桥安全仍是DeFi的致命弱点。"无限铸造"漏洞虽属经典类型,但其在IBC连接中的实现表明,即便是经过时间考验的协议也可能隐藏逻辑缺陷。市场若如SCRT案例般为短期投机收益而忽视根本性风险,最终往往得不偿失。