一名攻擊者從與 Axelar (AXL) 相關、連結 Secret (SCRT) 的橋接中,掏空約 467 萬美元,方法是利用一份存在缺陷的合約,從無到有鑄造未有抵押支撐的代幣。
重點摘要:
- Secret Network 合約中的缺陷讓攻擊者得以鑄造無抵押代幣,最終掏空約 467 萬美元。
- 這起竊案在七天內都未被發現,直到一次轉帳失敗才暴露託管帳戶已被掏空。
- Axelar 停用受影響的連線,並強調其核心協議並未遭到觸及。
Secret Network 橋接損失數百萬美元
竊案於 6 月 10 日開始,卻在七天內都未被發現,因為 Secret 預設會對餘額加密,缺失的抵押資產不會直接顯示在鏈上。真正浮上檯面是在 6 月 17 日,一筆例行的跨鏈轉帳因託管帳戶資金見底而失敗。調查人員接著將資金缺口追溯到開案當天的七筆可疑提領。
Axelar 在 6 月 19 日證實損失,並在數小時內停用受影響的 Secret 與 Secret-SNIP 連線,同時強調其核心協議從未遭到觸及。團隊表示,已聯繫交易所與執法單位追查資金流向,目前約有 67.2 萬美元仍停留在攻擊者的主錢包中未被動用。
延伸閱讀:比特幣 ETF 撤出創下 63.5 億美元新高,但恐慌性拋售或已降溫
無限鑄幣缺陷欺騙了合約
這份存在漏洞的合約負責鑄造橋接資產的 Secret 包裝版本,但它從未驗證存入資產實際來自哪一條通道,只是將代幣名稱與核准清單逐一比對。
研究機構 Common Prefix 在一篇事後分析中描繪了這個單一缺口如何被一路放大。由於該網路預設隱藏轉帳紀錄,要追蹤攻擊者,比在完全透明的公鏈上困難得多。
為了利用這個漏洞,攻擊者架設了一條只有一個驗證人的鏈,開啟一條未經授權的通道,並自行中繼偽造封包,封包中載著直接從允許清單抄來的代幣名稱。
合約接受了這些封包,並在毫無任何抵押支撐的情況下,鑄造出真實且可兌換的代幣。
之後,攻擊者透過真正的通道贖回這些假代幣,於是橫跨七種包裝資產的託管帳戶被掏空。這項缺陷並非新問題,該研究機構指出,相同邏輯自 2023 年起就存在於程式碼中,並在 2026 年 3 月的遷移後依然存留。Secret 補充,當初建置這條橋接時並未求助任何外部稽核。
跨鏈橋依舊暴露在風險之中
被竊資金先經過 Osmosis 流轉,在去中心化交易所中兌換成 以太幣 (ETH),接著被分散到數十個新錢包中,最後才流入三家中心化交易所。整體市場反應相對平淡,Axelar 代幣當日僅下跌約 2.2%,Secret 價格則幾乎持平。
儘管如此,這起損失仍為跨鏈基礎建設的慘淡一年再添一筆。採用類似「鎖倉加鑄幣」設計的橋接,仍是加密市場中遭攻擊最頻繁的環節之一,類似缺陷在 2026 年已讓整個產業付出超過 3.4 億美元的代價。受害案例包括 Resolv 的 2500 萬美元漏洞、Verus 的 1100 萬美元損失,以及 IoTeX 遭到的 400 萬美元攻擊。