Axelar与Secret Network桥接遭攻击:无限铸币漏洞致损467万美元

6月19日,Axelar团队正式确认,连接其协议与Secret Network的跨链桥存在严重漏洞并被利用。攻击者利用“无限铸造”(infinite mint)漏洞,窃取了价值约467万美元的数字资产。值得注意的是,此次盗窃在七天内未被发现,这表明桥运营商对链上活动的监控不足。
攻击技术细节
根据Axelar核心开发者Common Prefix的分析,漏洞存在于Secret Network侧ICS-20智能合约中,该合约属于Cosmos的IBC连接。该合约负责创建资产的“包装”版本(saToken),但未验证传入交易来自哪个通道。这使得攻击者能够伪造存款,并在没有任何实际抵押的情况下发行代币。
由于操作无需许可,黑客在Cosmos生态系统中部署了自己的链,仅设一个验证者,并从中发送带有虚假资产面额的包。这样,他制造了合法转账的假象,而实际上只是凭空“铸造”代币。
事件反应与规模
Axelar紧急委员会迅速断开了Secret和Secret-SNIP的连接,以阻止进一步的未经授权转账。团队正在与交易所和执法机构协调,追踪资金并协助追回。根据官方声明,此次事件仅影响saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH代币。Axelar主协议、其他IBC连接以及Secret Network的原生资产未受影响。
市场未恐慌
尽管事件严重,市场反应却出奇平静。Secret代币(SCRT)价格一度飙升近6%,达到0.06美元。回调后,该资产交易价约为0.058美元,日涨幅仍保持在3%左右。市值约为2000万美元。然而,值得注意的是,在2021年10月的历史高点,SCRT曾达到10.64美元,比当前报价高出99.5%。这表明市场早已将风险计入资产价格,黑客消息并未引发冲击。

专家观点
此次事件再次凸显了基于未经充分安全审计的修改合约构建的跨链桥的系统性漏洞。“无限铸造”漏洞是一个经典错误,本应在测试阶段被发现。对投资者而言,这是又一个信号:锁定在桥中的资产风险更高,而跨协议分散投资不仅是一种策略,更是一种必要。