Axelar与Secret Network桥接遭攻击:黑客利用"无限增发"漏洞窃取467万美元

6月19日,区块链基础设施Axelar正式确认其连接Secret Network协议的跨链桥遭到黑客攻击。攻击者利用名为"无限铸造"(infinite mint)的关键漏洞,盗取了价值约467万美元的数字资产。
该事件在七天内未被察觉,凸显了跨网络交易监控的复杂性。Axelar的主要开发团队Common Prefix进行了详细分析,发现漏洞存在于Secret Network一侧的ICS-20智能合约中,该合约运行在Cosmos的IBC连接框架内。该合约负责创建资产的"封装"版本(saToken),但未验证传入交易来自哪个通道,使得攻击者能够伪造存款并发行无实际资产支撑的代币。
由于Cosmos网络中的操作无需许可,黑客启动了一条仅含一个验证节点的自有链,并开始发送带有虚假资产面额的交易包。通过这种方式,他成功在Secret Network上铸造了任意数量的Axelar封装资产。
Axelar紧急委员会迅速切断了Secret和Secret-SNIP连接,以阻止进一步的未授权转账。目前,团队正与交易所及执法机构协调,追踪被盗资金并协助追回。值得注意的是,此次事件仅影响saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH代币。Axelar主协议、其他IBC连接以及Secret Network的原生资产均未受影响。
尽管发生如此严重的事件,Secret Network原生代币SCRT的价格却意外上涨。该资产一度飙升近6%,触及0.06美元。经过回调,SCRT目前交易价约为0.058美元,24小时内仍保持约3%的涨幅,市值约2000万美元。作为对比,在2021年10月的历史最高点,SCRT曾达到10.64美元,较当前价格高出99.5%。

专家观点:此次黑客攻击再次提醒我们,跨链桥仍是DeFi基础设施中最脆弱的环节。ICS-20合约中的"无限铸造"漏洞是输入数据验证不足的典型案例。市场在盗窃消息传出后对SCRT价格上涨的矛盾反应,很可能源于不确定性暂时消除,以及投资者相信团队有能力应对后果。然而,投资者应牢记,此类事件后重建信任是一个漫长而艰难的过程。