一名攻擊者從與 Axelar (AXL) 綁定的 Secret (SCRT) 跨鏈橋中,掏空了約 467 萬美元,手法是利用一份存在缺陷的合約,從無到有鑄造出沒有資產背書的代幣。
重點摘要:
- 一份有漏洞的 Secret Network 合約允許攻擊者鑄造無擔保代幣,最終掏空約 467 萬美元。
- 這起竊案潛伏了七天,直到一次轉帳失敗才暴露託管帳戶已被掏空。
- Axelar 關閉受影響的連線,並強調其核心協議從未遭到觸及。
Secret Network 跨鏈橋損失數百萬美元
這起竊案始於 6 月 10 日,但在七天內始終未被發現,因為 Secret 預設會加密餘額,缺失的抵押品不會直接顯示在鏈上。直到 6 月 17 日,一筆例行的跨鏈轉帳因為託管帳戶裡的資金已被掏空而失敗,事件才浮上檯面。調查人員隨後將缺口追溯到當天開局時發生的七筆可疑提款。
Axelar 在 6 月 19 日證實損失,並在數小時內關閉受影響的 Secret 與 Secret-SNIP 連線,同時強調其核心協議從未被觸及。團隊表示已聯繫交易所與執法單位追查資金去向,約有 67.2 萬美元仍停留在攻擊者的主錢包中、尚未被移動。
延伸閱讀:比特幣 ETF 淨流出創下 63.5 億美元紀錄,但恐慌性拋售或已降溫
無限鑄幣漏洞蒙騙了合約
出問題的合約負責鑄造經 Secret 封裝的跨鏈資產副本,但它從未驗證存入資產實際來自哪一條通道,只是把代幣名稱拿去和核准清單比對。
研究機構 Common Prefix 在事後分析中詳細說明這個單一缺口是如何釀成災難。由於該網路預設隱匿轉帳資訊,要追蹤攻擊者比在完全透明的公有鏈上困難得多。
為了利用這個漏洞,攻擊者架設了一條只有一個驗證者的鏈,開啟一條未經授權的通道,並自行轉送偽造資料包,包裡帶的代幣名稱直接抄自允許清單。
合約照單全收,為這些偽造的存款鑄造出真正可兌換、卻毫無資產背書的代幣。
接著,攻擊者透過正版的合法通道贖回這些假代幣,於是橫跨七種封裝資產,把託管帳戶徹底掏空。漏洞本身並非新出現,研究機構指出,相同邏輯自 2023 年起就存在於程式碼中,甚至在 2026 年 3 月的遷移後仍未修正。Secret 補充說,當初搭建這座橋時並未委託外部審計。
跨鏈橋風險仍然高企
被盜資金先經過 Osmosis,再在去中心化交易所換成 Ether (ETH),接著被拆散到數十個新錢包,最後流入三家中心化交易所。整體市場反應相對平淡,Axelar 代幣當天下跌約 2.2%,Secret 幾乎持平。
即便如此,這起損失仍讓本就艱難的跨鏈基礎設施再添重擊。基於類似「鎖定加鑄幣」設計的橋樑,仍是加密產業中最常被攻擊的介面;2026 年,類似漏洞已讓整個產業付出超過 3.4 億美元的代價,其中包括 Resolv 遭駭 2500 萬美元、Verus 損失 1100 萬美元,以及 IoTeX 被盜 400 萬美元。