攻擊者從與 Axelar (AXL) 相關、連接 Secret (SCRT) 的跨鏈橋中,掏空約 467 萬美元,手法是利用一個有漏洞的合約,從無到有鑄造沒有任何資產背書的代幣。
重點整理:
- Secret Network 有缺陷的合約,讓攻擊者可鑄造未備付代幣,最終掏空約 467 萬美元。
- 這宗竊案潛伏七天,直到一次失敗的轉帳才暴露託管帳戶已被掏空。
- Axelar 關閉受影響的連線,並強調其核心協議從未被觸及。
Secret Network 跨鏈橋損失數百萬
竊案於 6 月 10 日展開,但在七天內無人察覺,因為 Secret 預設會加密餘額,鏈上看不出抵押品消失。直到 6 月 17 日,一筆例行的跨鏈轉帳失敗,原因是託管帳戶資金已經耗盡。調查人員隨後把缺口追溯到啟用當天的七筆可疑提領。
Axelar 在 6 月 19 日確認損失,並在數小時內關閉受影響的 Secret 與 Secret-SNIP 連線,同時強調其核心協議並未遭入侵。團隊表示,已聯絡交易所及執法單位追蹤資金,其中約 67.2 萬美元仍留在攻擊者的主錢包,尚未動用。
延伸閱讀:比特幣 ETF 淨流出創 6.35 億美元新高,但恐慌拋售或已降溫
無限鑄幣漏洞誤導合約
有漏洞的合約負責鑄造跨鏈資產的 Secret 包裝代幣,但它從未驗證存款實際是從哪個通道進來,只是用代幣名稱對照核准清單。
研究機構 Common Prefix 在一篇驗屍報告中詳細說明這個單一缺口是如何演變成災難。由於該網路預設隱藏交易紀錄,要追蹤攻擊者遠比在完全透明的公鏈上困難。
為了利用漏洞,攻擊者啟動一條只有一個驗證者的鏈,開啟未獲授權的通道,並自行轉送偽造封包,封包內夾帶的代幣名稱直接抄自允許清單。
合約接受了這些封包,並鑄造真正可兌換、卻完全沒有資產背書的代幣。
將這些假幣透過正版通道贖回後,託管帳戶內、對應七種包裝資產的資金被掏空。這個漏洞並非新問題,研究機構指出,相同邏輯自 2023 年起就存在於程式碼中,甚至在 2026 年 3 月的遷移後仍然保留。Secret 補充,該跨鏈橋在最初建置時並未要求外部審計。
跨鏈橋風險依舊高企
被盜資金先經過 Osmosis,再在去中心化交易所換成 以太幣 (ETH),接著分散到數十個新錢包,最後流入三家中心化交易所。整體市場反應相對冷靜,Axelar 代幣當天下跌約 2.2%,Secret 價格則幾乎持平。
儘管如此,這起事件延續了跨鏈基礎設施慘烈的一年。採用類似「鎖倉+鑄幣」設計的橋接協議,仍是加密產業中被攻擊最嚴重的環節,2026 年類似漏洞已在全行業造成超過 3.4 億美元損失。其中包括 Resolv 遭駭 2500 萬美元、Verus 損失 1100 萬美元,以及 IoTeX 被盜 400 萬美元。