6月19日披露的事件显示,一名黑客利用部署于Secret Network上的修改版CW20-ICS20智能合约,成功从Axelar桥接网络中提取价值约467万美元的多种资产。该合约原本用于处理通过IBC协议转入的代币,并生成对应的封装版本。
据区块链安全机构Common Prefix分析,漏洞根源在于该合约未对两个关键条件进行校验:一是确认转账是否来自由Axelar控制的真实IBC通道;二是核实赎回请求是否超出托管账户实际持有的资产规模。这一设计缺陷导致系统将所有符合白名单的代币ID视为合法输入,无论其来源是否可信。
攻击者搭建了一条仅含一个验证者的微型Cosmos链,建立通往Secret Network的新IBC连接,并向其发送伪造的存款数据包。由于合约未验证数据源,这些恶意信息被错误接受,从而在Secret上创建了无真实抵押支持的封装代币。随后,攻击者借助正常赎回流程,将这些无效代币兑换为底层资产,致使托管账户被完全清空。
研究指出,该逻辑缺陷最早可追溯至2023年初的代码提交记录,且在2026年3月的一次系统迁移中并未被清除,反而被延续保留。这表明系统架构中存在一种根深蒂固的信任假设——上游组件会完成身份验证,但在攻击者自建路由的场景下,这一前提不复成立。最终,只要通道和代币匹配,伪造消息即可畅通无阻。
Axelar迅速响应,切断了与Secret Network之间的相关IBC连接,确认核心协议未受损,问题仅限于特定桥接路径。目前,通过该路由转移至Secret的用户面临无法赎回的问题,因托管账户已无可用资产。此外,Secret Network默认采用加密账本设计,使得攻击行为难以通过常规区块浏览器追踪,恢复工作因此更具挑战性。
尽管此次损失金额低于部分历史最大桥接攻击,但其揭示的风险模式具有普遍意义:一个边缘合约中的验证疏漏,足以颠覆整个桥接系统的安全性。本月早些时候,Syscoin桥因类似漏洞导致50亿枚代币被非法铸造而暂停;2月,CrossCurve亦因智能合约漏洞遭受约300万美元损失。这些案例共同凸显,跨链通信的安全边界不仅取决于核心协议,更取决于每一个参与消息传递的智能合约的严谨性。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.