攻击者利用注重隐私的 Secret Network 上的智能合约中的“无限铸币”漏洞,导致未经授权创建无支持、打包的 Axelar 资产,并造成约 467 万美元的损失。据区块链分析公司 Common Prefix 称,该漏洞发生于 6 月 10 日,但直到 6 月 19 日才被发现,当时“资金不足”错误引发的跨链交易失败向研究人员发出了警报。
受损的智能合约在秘密网络上铸造 saToken(Axelar 包装的资产)之前未能验证入站转账的合法性。这使得攻击者能够通过恶意渠道伪造存款并铸造真正的 saToken,而无需任何底层抵押品。然后,这些假冒代币通过合法途径赎回,以提取托管的实际资产。
受影响的资产包括 saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB 和 sawstETH。攻击者随后将被盗资金桥接至以太坊,将其转换为以太币 (ETH),并将收益分散到大约 30 个钱包中以掩盖踪迹。据 Common Prefix 报道,资金最终存入 KuCoin、ChangeNow 和 HitBTC 等交易所。
被盗资金被分成多个钱包以进行混淆。来源:通用前缀
对此,Secret Network 团队于 6 月 22 日警告用户:“如果您在 Secret 上持有 Axelar 桥接的 saXXX 代币,请注意他们的支持受到影响,您的资金可能会丢失。”
值得注意的是,Secret Network 的原生代币 (SCRT) 和 Axelar 的 AXL 代币都没有在攻击中直接受到损害。 SCRT 目前的交易价格为 0.058 美元,较 2021 年的历史高点下跌 99%,而 AXL 的交易价格为 0.045 美元,较 2024 年的峰值下跌 98%。
Axelar 于 6 月 22 日澄清,其核心基础设施仍然安全:“Axelar 和 IBC [区块链间通信]都没有受到损害。被利用的代币智能合约不是由 Axelar 开发、部署或维护的。Axelar 的防火墙阻止了影响蔓延到其他链。”
这一事件标志着本月 DeFi 漏洞利用激增中的最新一起,据 DeFiLlama 称,至少有 22 起黑客事件被报告。此前,Humanity Protocol(价值 3200 万美元)和 Syscoin Bridge(价值 800 万美元)于 6 月初发生了重大违规事件。