Axelar桥的“无限铸币”漏洞导致项目损失467万美元——黑客如何欺骗Secret Network
6月19日,跨链协议Axelar确认其连接隐私平台Secret Network的桥梁遭到攻击。攻击者利用被称为"无限铸造漏洞"(infinite mint bug)的弱点,盗取了价值约467万美元的数字资产。
该事件在七天内未被察觉——这对整个跨链桥生态系统而言是一个警示信号,这些桥梁仍然是DeFi基础设施中最薄弱的环节之一。
Axelar的主要开发团队Common Prefix进行了详细分析,发现漏洞存在于Secret Network一侧的ICS-20智能合约中,该合约用于Cosmos生态系统的IBC(跨区块链通信)连接。问题在于,创建资产"包装"版本(saToken)的合约没有验证传入交易来自哪个通道。这使得攻击者能够伪造存款,并在没有实际抵押的情况下发行代币。
攻击者在Cosmos中启动了自己的链,仅配备一个验证节点,并通过该链发送带有虚假资产面额的包。由于此类操作无需许可,他能够无限生成代币,直到耗尽桥梁的流动性池。
Axelar紧急委员会立即断开了Secret和Secret-SNIP的连接,以阻止进一步的未经授权转账。目前,团队正与交易所和执法机构协调,追踪被盗资金。需要强调的是,此次事件仅影响saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH代币。Axelar主协议、其他IBC连接以及Secret Network的原生资产均未受影响。
市场对这一消息的反应出人意料地乐观:Secret代币(SCRT)价格一度飙升近6%,达到0.06美元。经过回调后,该资产交易价格约为0.058美元,日涨幅约3%。市值约为2000万美元。作为对比,在2021年10月的历史最高点,SCRT价格为10.64美元——当前报价较峰值下跌了99.5%。
我的分析: 这一案例再次提醒我们,跨链桥仍然是DeFi的"阿喀琉斯之踵"。"无限铸造"漏洞是一种经典但依然有效的攻击向量,它利用了输入数据验证不足的弱点。Axelar团队行动迅速,但长达七天的检测延迟本身表明,需要更严格的监控程序。SCRT在遭受攻击后反常上涨,可能源于投资者将这一消息视为"不确定性消除",但此类项目的基本风险仍然很高。