Axelar与Secret Network桥接漏洞:"无限增发"漏洞导致467万美元损失
6月19日,我记录了一起发生在Axelar与Secret Network跨链桥上的严重安全事件。攻击者利用一个关键漏洞,盗走了约467万美元的资产。此次攻击在七天内未被发现,暴露出监控系统响应不够及时的问题。
由Common Prefix团队(Axelar核心开发者)进行的分析表明,漏洞位于Secret Network一侧的ICS-20智能合约中,该合约运行在Cosmos生态系统的IBC连接之上。问题在于缺乏对传入交易来源通道的验证。合约在创建资产的“封装”版本(saToken)时,未核实存款来源。这使得攻击者能够伪造存款,并启动“无限铸造”流程——即发行无实际资产支撑的代币。
攻击者启动了自己的Cosmos链(仅含一个验证节点),并从该链发送带有虚假资产面额的数据包。由于协议未对此类操作设置权限限制,攻击者得以无障碍地操纵余额。Axelar紧急委员会迅速切断了Secret和Secret-SNIP的连接,以阻止进一步的未授权转账。目前团队正与交易所及执法机构协调,追踪并追回资金。
需要强调的是,此次事件仅波及saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH代币。Axelar主协议、其他IBC连接以及Secret Network的原生资产均未受影响。这表明攻击具有针对性,而非系统性故障。
尽管遭遇盗窃事件,Secret代币(SCRT)的价格却反常上涨近6%,达到0.06美元。经过回调后,该资产目前交易价约为0.058美元,日涨幅仍维持在3%左右,市值约2000万美元。相比之下,2021年10月的历史最高点曾达到10.64美元,较当前水平高出99.5%。这种市场反应可能源于投资者对复苏预期的短期需求,但我认为投资者应保持谨慎——跨链基础设施的漏洞仍是项目长期稳定性的重大风险。
我的分析:此案例再次表明,基于IBC的桥接架构尽管具备去中心化特性,仍需对接收方网络的合约逻辑进行严格审计。通道验证缺失是一种经典但危险的漏洞,在开发者引入更严格的验证机制之前,攻击者将持续利用此类漏洞。投资者需意识到类似事件可能重演,资产多元化仍是关键防御策略。