Axelar与Secret Network桥接遭攻击:无限铸造漏洞致467万美元损失
6月19日,区块链项目Axelar正式确认其与Secret Network协议连接的跨链桥遭黑客攻击。攻击者利用被称为"无限铸币漏洞"的关键漏洞,盗取了约467万美元的资金。值得注意的是,此次盗窃行为在七天内未被发现,这充分说明了攻击的复杂性和隐蔽性。
事件技术细节
根据Axelar核心开发团队Common Prefix的分析,该漏洞存在于运行在Secret Network侧、属于Cosmos IBC连接的ICS-20智能合约中。在正常运行状态下,该合约会创建资产的"封装"版本(saToken),但并未验证传入交易来自哪个具体通道。这使得攻击者能够伪造存款,并在没有任何真实资产支撑的情况下发行代币。
攻击者手段狡猾:未经许可便在Cosmos生态系统中启动了一条仅含单个验证者的自有链。从该链上,他发送了带有虚假资产面额的IBC数据包,从而在Secret Network侧铸造出无担保的代币。
应对措施与损失规模
事件发现后,Axelar紧急情况委员会立即断开了Secret和Secret-SNIP的连接,以阻止进一步的未经授权转账。目前团队正与交易所及执法部门协调,追踪被盗资金并协助追回。
需要强调的是,此次攻击仅波及有限范围的代币:saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH。Axelar核心协议、其他IBC连接以及Secret Network的原生资产均未受影响。这表明漏洞仅存在于特定合约中,而非整个基础设施层面。
市场反应与背景分析
尽管发生如此严重的事件,市场反应却呈现分化。Secret代币(SCRT)价格一度飙升近6%,触及0.06美元。经过回调后,该资产目前交易价约为0.058美元,日内涨幅仍保持在3%左右。市值约为2000万美元。作为对比,2021年10月历史最高点时SCRT价格为10.64美元,较当前报价高出99.5%。
此次事件再次提醒我们,即使在Cosmos这样成熟的生态系统中,跨链桥仍然是基础设施中最脆弱的环节之一。"无限铸币"漏洞是典型例证,说明输入数据验证不足可能引发灾难性后果。
我的专家观点:此次攻击再次证明,跨链桥智能合约的安全性需要全面审计和形式化验证。尽管Axelar团队反应迅速,但长达七天的盗窃发现延迟,仍引发了对链上活动监控机制的质疑。投资者需认识到,此类事件虽不波及核心协议,但会削弱对跨链解决方案的信任,并可能对代币价格产生长期压力。