一名攻击者利用存在缺陷的合约,从与 Axelar (AXL) 关联的 Secret (SCRT) 跨链桥中掏空约 467 万美元,合约从无到有铸造未被资产支持的代币。
要点概览:
- Secret Network 中存在缺陷的合约允许攻击者铸造无抵押代币,套走约 467 万美元。
- 这起盗窃在 7 天内未被发现,直到一次转账失败才暴露托管账户已被掏空。
- Axelar 禁用受影响的连接,并强调其核心协议从未被触及。
Secret Network 跨链桥损失数百万美元
这起盗窃从 6 月 10 日开始,却在整整 7 天内无人察觉,因为 Secret 默认对余额进行加密,缺失的抵押资产不会直接显示在链上。直到 6 月 17 日,一笔常规的跨链转账因托管账户资金耗尽而失败,问题才浮出水面。调查人员随后将缺口追溯到开放当日发生的 7 笔可疑提现。
Axelar 在 6 月 19 日确认了损失,并在数小时内禁用了受影响的 Secret 和 Secret-SNIP 连接,同时强调其核心协议从未被触及。团队表示,已联系交易所和执法机构追踪资金,其中约 67.2 万美元仍静置在攻击者的主钱包中。
延伸阅读: 比特币 ETF 资金外流创 6.35 亿美元纪录,但恐慌性抛售或在降温
“无限铸币”漏洞如何骗过合约
存在漏洞的合约负责为跨链资产铸造 Secret 封装版本,但它从未验证存款究竟来自哪个通道,只是将代币名称和白名单中的名称进行匹配。
研究机构 Common Prefix 在一篇事后分析中详细梳理了这个单点疏漏如何酿成大祸。由于网络默认对转账进行隐私保护,要追踪攻击者比在完全透明的公链上困难得多。
为利用该漏洞,攻击者先搭建了一条只有单个验证人的链,打开一个未授权通道,然后自我中继伪造的数据包,这些数据包携带的代币名称直接照搬自白名单。
合约接受了这些伪造数据包,并在毫无抵押的情况下铸造出真实、可赎回的代币。
攻击者再通过合法通道赎回这些假币,最终在七种封装资产上将托管账户掏空。该缺陷并非新出现,研究机构在报告中称,相同逻辑自 2023 年起就存在于代码中,并且在 2026 年 3 月的迁移中依旧保留。Secret 方面补充,当初搭建这座跨链桥时,并未请求外部审计。
跨链桥风险仍然高企
被盗资金先经 Osmosis 转移,在去中心化交易所换成 以太币 (ETH),随后分散到数十个新地址,最终流入三家中心化交易所。更广泛的市场反应相对平静,当天 Axelar 代币跌约 2.2%,Secret 基本持平。
尽管如此,这起事件仍为跨链基础设施“惨烈的一年”再添一笔。采用类似“锁仓 + 铸币”设计的跨链桥依旧是加密行业中被攻击最多的薄弱环节,相似漏洞在 2026 年间已造成超过 3.4 亿美元的损失。受害案例包括 Resolv 遭遇的 2500 万美元攻击、Verus 损失的 1100 万美元,以及 IoTeX 遭受的 400 万美元打击。