Axelar与Secret Network:467万美元跨链桥攻击事件——"无限铸造"漏洞曝光

6月19日,区块链基础设施项目Axelar正式确认,连接其网络与隐私协议Secret Network的桥梁遭到黑客攻击。此次攻击持续了整整七天,却一直未被察觉,直到攻击者利用一个被称为“无限铸币漏洞”(infinite-mint bug)的关键漏洞,盗走了约467万美元。
攻击细节:黑客如何绕过防御
该事件由Axelar的主要开发者Common Prefix团队进行了分析。漏洞存在于ICS-20智能合约中,这是CW20-ICS20的修改版本,运行在Secret Network一侧,连接Cosmos IBC。漏洞在于,创建“封装”资产(saToken——Secret封装的Axelar资产)的算法没有验证传入交易来自哪个通道。这使得攻击者能够伪造存款,并在没有任何实际抵押的情况下发行代币。
为了实施攻击,黑客在Cosmos生态系统中启动了一条新的链,仅有一个验证节点。从这个受控网络中,他发送了带有虚假资产面额的包,从而实际上“铸造”了无限数量的代币。Axelar紧急委员会立即断开了Secret和Secret-SNIP的连接,以防止进一步的未经授权转账。团队正与交易所和执法机构协调,追踪被盗资金并力求追回。
后果与市场反应
需要强调的是,该事件仅影响了saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH代币。Axelar的核心协议、其他IBC连接以及Secret Network的原生资产均未受影响。尽管如此,桥梁漏洞始终是整个生态系统的风险信号。
尽管消息令人震惊,但市场反应却出人意料:Secret代币(SCRT)的价格一度飙升近6%,达到0.06美元。经过回调后,该资产交易价格约为0.058美元,日涨幅仍保持在3%左右。市值约为2000万美元。然而,值得注意的是,与2021年10月的历史高点(10.64美元)相比,SCRT已下跌99.5%,这表明当前对该资产的熊市压力有多深。
专家分析
这一事件再次提醒我们,桥梁仍然是DeFi基础设施中最脆弱的环节。“无限铸币漏洞”是一种经典但危险的合约逻辑错误,当开发者未考虑数据源验证时就会发生。在这种情况下,输入通道验证的缺失使黑客能够绕过所有防御机制。对投资者而言,这是一个信号:在使用跨链解决方案之前,应仔细分析智能合约的审计报告,尤其是那些处理资产“封装”的合约。市场似乎已将风险计入SCRT价格,但如果项目不采取根本性措施加强安全,其长期声誉可能会受损。