Axelar桥与Secret Network遭攻击:无限铸币漏洞导致467万美元损失

6月19日,区块链基础设施项目Axelar正式确认其连接Secret Network协议的跨链桥遭到黑客攻击。攻击者利用名为“无限铸造漏洞”(infinite-mint bug)的关键安全漏洞,盗取了约467万美元的资产。此次盗窃在七天内未被发现,暴露出监控系统的缺陷。
攻击细节:通道伪造与虚假存款
根据Axelar首席开发团队Common Prefix的分析,该漏洞存在于部署在Secret Network端的ICS-20智能合约中,该合约属于Cosmos生态系统的IBC连接。问题在于,创建资产“封装”版本(saToken)的算法未验证传入交易来自哪个具体通道,这使得攻击者能够伪造存款并启动无担保代币的铸造流程。
为实施攻击,攻击者在Cosmos中启动了一条仅含单个验证者的自有链。从这条受控网络中,他发送了携带虚假资产面额的数据包,而桥接器将其视为合法交易。由此,黑客得以在Secret Network平台上无限铸造Axelar的封装资产,而无需实际抵押。
影响范围与后果
Axelar紧急委员会迅速断开了Secret和Secret-SNIP连接,以阻止进一步的未经授权转账。目前,团队正与交易所及执法机构协调,追踪被盗资金并寻求追回可能。
需强调的是,此次事件仅影响有限的代币池:saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH。Axelar核心协议、其他IBC连接以及Secret Network的原生资产均未受影响。这表明漏洞局限于特定智能合约,而非底层基础设施。
市场反常反应:SCRT在黑客攻击中上涨
尽管发生盗窃事件,Secret Network原生代币SCRT的价格却意外上涨。该资产一度飙升近6%,达到0.06美元。经过小幅回调后,SCRT交易价约为0.058美元,日内涨幅仍维持在3%左右。市值约为2000万美元。
市场的这种反应可能源于投资者将团队迅速隔离问题的举措视为积极信号。然而需指出,当前价格较2021年10月创下的历史高点10.64美元已下跌99.5%,凸显出该资产深陷熊市趋势,尽管存在短期波动。
专家分析
此次事件再次提醒我们,跨链桥仍是DeFi生态系统中最脆弱的环节。“无限铸造”漏洞是一种典型的通道验证逻辑错误,本应在审计阶段被发现。市场显然低估了IBC连接相关的风险,而SCRT的价格反应更多是情绪驱动而非理性判断。结合近期针对Aztec网络老旧合约的攻击(分别造成219万和215万美元损失),此案例证实了桥接安全性需要开发者从根本上重新审视优先级。