Secret Network 宣布暂停其 Axelar 跨链桥,因为攻击者利用了一个长期存在的铸币缺陷,窃取了约 467 万美元的包装代币。
桥梁悬挂和发现
Secret Network 和 Axelar 均于 6 月 19 日证实了此次泄露,并透露盗窃事件是通过 Axelar 到 Secret IBC 通道发生的。入侵始于 6 月 10 日,但隐藏了整整一周,直到例行转账失败,托管余额耗尽。
潜在漏洞
安全公司 Common Prefix 将该缺陷追溯到管理桥代币传输的定制 CW20-ICS20 合约。两个重要的验证检查——一个应该将代币面额与源渠道相匹配,另一个应该限制托管人实际持有的资金流出——被故意注释掉。
受感染的合约于 2023 年 3 月首次部署,并通过 2026 年 3 月 5 日的字节码迁移得以保留,该迁移添加了新功能,但保留了缺失的保护措施。 Secret Network 的默认交易加密掩盖了不断增长的缺陷,使攻击者能够在 7 天之内不被察觉地进行操作。
对投资者和加密货币市场的影响
通过创建单验证器 Cosmos SDK 链并向 Secret Network 打开新的 IBC 通道,犯罪者利用未经检查的逻辑来铸造未经授权的代币。该事件动摇了投资者的信心,促使人们重新评估整个区块链生态系统的桥梁安全性。
市场分析师预测,对跨链基础设施的审查将会加强,因为损失凸显了与脆弱的智能合约相关的金融风险。在强有力的补救措施恢复利益相关者的信任之前,Secret Network 的声誉和代币价格可能会面临压力。