Axelar与Secret Network桥接遭攻击:"无限增发"漏洞导致467万美元损失
6月19日,区块链项目Axelar披露了其与Secret Network协议连接的桥梁遭到入侵的事实。攻击者利用名为"无限铸造"(infinite mint)的关键漏洞,盗走了约467万美元。该事件在七天内未被察觉,表明该领域的监控响应速度不足。
据Axelar主要开发团队Common Prefix的数据,漏洞出现在Secret端基于Cosmos IBC连接的ICS-20智能合约中。该合约创建了资产的"包装"版本(saToken),但未验证传入交易来自哪个通道。这使得攻击者能够伪造存款,并在无实际资产支撑的情况下发行代币。由于操作无需许可,攻击者在Cosmos中启动了一条仅含一个验证者的独立链,从中发送带有虚假资产面额的数据包。
Axelar紧急委员会立即切断了Secret和Secret-SNIP连接,以阻止新的未经授权转账。团队正与交易所及执法机构协调,追踪资金并协助追回。需强调的是,事件仅限于saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH代币。Axelar主协议、其他IBC连接及Secret Network原生资产未受影响。
尽管消息负面,Secret代币(SCRT)价格一度飙升近6%,达到0.06美元。回调后,该资产交易价约0.058美元,维持约3%的日涨幅,市值约2000万美元。而2021年10月历史最高点时,SCRT价格为10.64美元——较当前报价高出99.5%,表明该资产处于深度熊市趋势。
分析评论:此类事件再次引发对跨链桥安全性的质疑,这仍是DeFi生态系统中最脆弱的环节之一。"无限铸造"漏洞是典型的输入验证不足错误。鉴于SCRT较历史高点下跌99.5%,市场似乎已将此类故障风险计入价格,这解释了事件披露后的短期上涨——投资者可能将其视为"已知的未知因素"。