Axelar桥与Secret Network的“无限铸造”漏洞导致损失467万美元

6月19日,区块链项目Axelar正式确认了连接其与Secret Network协议的跨链桥遭黑客攻击。攻击者利用智能合约中一个被称为“无限铸造”(infinite mint)的关键漏洞,盗取了价值约467万美元的资产。
漏洞利用细节
据Axelar主要开发商Common Prefix团队称,该漏洞存在于Secret Network侧部署的修改版CW20-ICS20合约中,该合约用于与Cosmos生态系统的IBC连接。问题在于,创建“封装”代币(saToken)的算法未验证传入交易的来源通道。这使得攻击者能够伪造存款,并在没有任何抵押的情况下发行资产的封装版本。
攻击者在Cosmos中启动了一条仅含单个验证者的自有链,并从中发送携带虚假代币面额的数据包。这些操作无需许可,使得攻击在技术上简单且迅速。值得注意的是,此次盗窃在七天内未被察觉——这暴露了桥接系统在监控和审计方面的缺陷。
后果与应对措施
事件发现后,Axelar紧急委员会立即断开了Secret和Secret-SNIP的连接,以阻止进一步的未经授权转账。项目团队正与交易所及执法机构协调,追踪被盗资金并寻求可能的追回。官方声明称,此次攻击仅影响特定代币:saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH。Axelar主协议、其他IBC连接以及Secret Network的原生资产均未受影响。
市场与SCRT价格
尽管事件严重,市场反应却出人意料。Secret Network原生代币SCRT的价格一度飙升近6%,达到0.06美元。经过回调后,该资产交易价约为0.058美元,保持约3%的日涨幅。当前市值约为2000万美元。相比之下,2021年10月的历史最高点SCRT曾达到10.64美元——比当前报价高出99.5%,凸显了该资产的深度熊市趋势。
我的分析:这一事件再次提醒我们,即使在成熟的跨链协议中,智能合约漏洞仍是关键故障点。IBC连接中缺乏通道验证是一个简单却破坏性的错误。有趣的是,市场并未因黑客攻击而惩罚SCRT,这可能表明投资者已将低流动性和高风险计入价格。然而,对Axelar而言,这是一次严重的声誉打击,可能长期削弱对其桥接解决方案的信任。