一名攻擊者利用與 Axelar (AXL) 相連的 Secret (SCRT) 跨鏈橋合約缺陷, 無中生有鑄造無抵押代幣,最終掏空約 467 萬美元資產。
重點摘要:
- 有缺陷的 Secret Network 合約讓攻擊者能鑄造無抵押代幣,套走約 467 萬美元。
- 這起盜竊潛伏了七天,直到一筆失敗轉帳才暴露託管帳戶已被掏空。
- Axelar 關閉受影響的連線,並強調其核心協議從未被觸及。
Secret Network 跨鏈橋損失數百萬
這起盜竊在 6 月 10 日展開,但在之後七天內完全無人察覺;由於 Secret 預設會加密餘額,缺失的抵押品根本沒有顯示在鏈上。 事情直到 6 月 17 日才浮出水面:一筆例行跨鏈轉帳失敗,原因是託管帳戶資金已被抽乾。調查人員其後將這筆缺口追溯到 開始當天發生的七筆可疑提款。
Axelar 在 6 月 19 日確認損失, 並在數小時內關閉受影響的 Secret 與 Secret-SNIP 連線,同時強調其核心協議從未被碰觸。團隊表示已聯絡交易所和執法機構 追查資金流向,目前約有 67.2 萬美元仍靜置在攻擊者的主錢包中。
延伸閱讀:比特幣 ETF 贖回潮創 63.5 億美元新高,但恐慌拋售或正降溫
無限鑄幣漏洞欺騙合約
有漏洞的合約負責鑄造跨鏈資產在 Secret 上的包裝版本,但它從未驗證存入資產實際來自哪一條通道,只是把代幣名稱 拿去跟核准清單比對。
研究機構 Common Prefix 在事後發佈剖析報告, 詳細說明這個單一缺口如何被一步步利用。由於該網路預設隱藏轉帳紀錄,要追蹤攻擊者比在完全透明的公鏈上困難得多。
為了利用這個漏洞,攻擊者自建一條只有一個驗證人的鏈,開啟未授權通道,並自行中繼偽造封包, 在封包中夾帶直接從允許清單抄來的代幣名稱。
合約把這些封包當真,並鑄造出可兌回、看似合法、實則完全沒有任何資產背書的真實代幣。
攻擊者再透過真正的官方通道贖回這些假幣,於是託管帳戶在七種包裝資產上被掏空。這個缺陷並非新出現; 該研究機構指出, 相同邏輯自 2023 年起就存在於程式碼中,甚至在 2026 年 3 月的遷移後仍未被修正。Secret 補充說,當初搭建這座跨鏈橋時 並未委託外部審計。
跨鏈橋依然風險重重
被竊資金先透過 Osmosis 流轉,再在去中心化交易所中兌換成 Ether (ETH), 然後分散到數十個新錢包,最後才流入三家中心化交易所。整體市場反應相對冷淡,Axelar 代幣當天下跌約 2.2%, 而 Secret 價格幾乎持平。
儘管如此,這起事件仍為跨鏈基礎設施原本就嚴峻的一年再添一筆。採用類似「鎖倉鑄幣」設計的跨鏈橋仍是加密領域最常被攻擊的面向之一; 類似漏洞在 2026 年已為整個產業帶來超過 3.4 億美元的損失,其中包括: Resolv 遭入侵 2500 萬美元、Verus 損失 1100 萬美元,以及 IoTeX 被擊中 400 萬美元。