Axelar与Secret Network桥接遭攻击:无限铸币漏洞致损467万美元

6月19日,我作为Cryptalist的分析师,记录了一起严重的跨链基础设施事件。Axelar项目正式确认,连接其网络与Secret Network协议的桥梁遭到黑客攻击。攻击者利用名为"无限铸造漏洞"的关键漏洞,盗走了约467万美元。
这起盗窃案在七天内未被察觉——这警示着监控系统的响应速度存在不足。
攻击是如何实施的
根据我的分析,漏洞出现在Secret Network一侧的ICS-20智能合约中,该合约运行于Cosmos的IBC连接框架内。合约会创建资产的"封装"版本(saToken),但未验证传入交易来自哪个通道。这使得攻击者能够伪造存款,并在没有任何实际资产支撑的情况下发行代币。
由于操作无需许可,攻击者在Cosmos中启动了一条仅含一个验证者的自有链。从这条虚假网络中,他发送了带有虚假资产面额的数据包,欺骗桥梁并生成了无担保代币。
反应与后果
Axelar紧急委员会立即断开了Secret和Secret-SNIP的连接,以阻止新的未经授权转账。团队正与交易所及执法机构协调,追踪资金并寻求可能的追回。
需要强调的是:事件仅限于saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH代币。Axelar主协议、其他IBC连接以及Secret Network的原生资产未受影响。这表明漏洞具有针对性,而非系统性故障。
市场反应
尽管有盗窃消息,Secret代币(SCRT)价格一度飙升近6%,达到0.06美元。经过回调后,该资产交易价约为0.058美元,日涨幅仍保持在3%左右。市值约为2000万美元。
但值得注意的是,在2021年10月的历史最高点,SCRT曾达到10.64美元,比当前报价高出99.5%。此次因黑客事件引发的上涨,更像是短期投机,而非基本面复苏。
回顾一下,6月份黑客在几天内两次攻击了L2网络Aztec上的过时合约,分别造成219万美元和215万美元的损失。这印证了一个趋势:攻击者正积极寻找跨链桥梁和过时合约中的漏洞。
我的专家意见:这起事件再次提醒我们,跨链基础设施的安全性仍是DeFi生态系统中的薄弱环节。项目方需要引入多层交易验证系统,并定期进行审计,重点关注铸造函数的逻辑。忽视此类风险,未来可能导致更严重的损失。