Axelar与Secret Network桥接遭攻击:无限铸币漏洞致损467万美元
6月19日,区块链项目Axelar披露了一起严重的安全事件,涉及连接其网络与Secret Network协议的跨链桥。攻击者利用名为"无限铸造"的关键漏洞,盗取了约467万美元。值得注意的是,这起盗窃案在七天内未被察觉——这凸显了跨链基础设施中异常追踪的复杂性。
Axelar核心开发团队Common Prefix的分析显示,漏洞存在于Secret Network一侧的ICS-20智能合约中,该合约运行在Cosmos的IBC连接框架内。该合约负责创建资产的"封装"版本(saToken),但未验证传入交易来自哪个通道。这使得攻击者能够伪造存款,并在没有实际资产支撑的情况下发行代币。
由于操作无需许可,黑客在Cosmos上启动了一条仅含一个验证者的自有链,并通过该链发送带有虚假资产面额的数据包。最终,saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH等代币均遭入侵。Axelar紧急委员会迅速关闭了Secret和Secret-SNIP连接,以阻止新的未经授权转账。Axelar主协议、其他IBC连接以及Secret Network的原生资产未受影响。
我们分析了Secret Network事件。攻击者利用了Secret上修改后的CW20-ICS20代币合约中的无限铸造漏洞,盗取了约467万美元。攻击者通过启动一条仅含1个验证者的新Cosmos链,在Secret上任意铸造了Axelar的Secret封装资产……
—— Common Prefix (@CommonPrefix)
Axelar团队正与交易所及执法机构协调,追踪资金并协助追回。
尽管发生盗窃事件,Secret代币(SCRT)价格一度飙升近6%,达到0.06美元。回调后,该资产交易价约为0.058美元,日内涨幅仍保持在3%左右。市值约为2000万美元。而在2021年10月的历史高点,SCRT曾达到10.64美元,较当前报价高出99.5%。
我的评论:这起事件是典型的案例,说明即使在Cosmos IBC这样成熟的生态系统中,因输入数据验证不足也可能导致致命漏洞。"无限铸造"漏洞是跨链桥最危险的漏洞之一,因为它允许凭空创造资产。我预计此事件后,项目团队将加强智能合约审计,特别是在通道和存款验证方面。市场目前尚未恐慌——SCRT的上涨表明投资者相信团队有能力应对后果。然而,此类事件提醒我们,DeFi的安全性并非一劳永逸,而是一个持续的过程。