加密新闻

22.06.2026
08:40

467万美元被盗:Axelar披露与Secret Network桥接中的关键“无限铸造”漏洞

黑客,资金转移

6月19日,跨链协议Axelar团队确认了其基础设施与Secret Network连接桥梁中存在漏洞被利用的事实。攻击者利用所谓的"无限铸造"漏洞,成功窃取了价值约467万美元的数字资产。值得注意的是,该事件在整整七天内未被察觉。

攻击技术细节

由Axelar核心开发团队Common Prefix进行的分析发现,问题根源在于Secret Network端修改后的CW20-ICS20智能合约。该合约负责通过IBC连接在Cosmos生态系统中创建Axelar资产的"包装"版本(saToken代币)。致命错误在于缺乏对传入交易来源通道的验证。算法盲目信任任何数据包,使攻击者能够伪造存款并发行无实际资产支撑的代币。

为实现这一方案,黑客在Cosmos网络中启动了一条仅含单个验证者的自有链。通过该通道,他发送了包含虚假资产面额的数据包,Secret网络上的合约将其视为合法存款。这使得攻击者能够无限量铸造saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH,随后将这些代币转移至其他网络。

应对措施与影响

Axelar紧急事务委员会迅速断开了Secret和Secret-SNIP的连接,阻止了未经授权的交易流。目前团队正与交易所及执法部门协调,追踪被盗资金。需要强调的是,该事件仅影响上述包装资产。Axelar核心协议、其他IBC连接以及Secret Network原生代币均未受影响。

市场反应颇为有趣:尽管发生盗窃事件,Secret原生代币SCRT价格一度飙升近6%,达到0.06美元。经过小幅回调后,该资产交易价约为0.058美元,24小时涨幅约3%。项目市值约2000万美元。作为背景参考,SCRT历史最高点出现在2021年10月,达到10.64美元,较当前水平高出99%以上。

专家点评:此次事件是跨链通信逻辑漏洞的典型案例。问题并非出在Axelar协议本身,而是Secret Network端合约的实现缺陷。缺乏对传入通道的验证——这是复杂多链环境中常见但严重的错误。此案例警示我们:桥梁安全性取决于合约链中最薄弱的环节。项目方必须实施多层验证机制,尤其是在处理IBC数据包时,对来源的信任必须经过严格验证。