一名攻击者利用存在缺陷的合约,从与 Axelar (AXL) 相关的 Secret (SCRT) 跨链桥中,盗走了约 467 万美元资金,该合约从无到有铸造了没有任何抵押支撑的代币。
核心要点:
- Secret Network 有缺陷的合约允许攻击者铸造无抵押代币,最终套走约 467 万美元。
- 这起盗窃在七天内未被发现,直到一次失败的转账才暴露托管账户已被掏空。
- Axelar 随后关闭受影响的连接,并强调其核心协议从未被触及。
Secret Network 跨链桥损失数百万美元
这起盗窃发生于 6 月 10 日,但由于 Secret 默认对余额进行加密,缺失的抵押资产并不会直接显示在链上,因此整整七天都无人察觉。直到 6 月 17 日,一笔例行的跨链转账因托管账户资金耗尽而失败,问题才浮出水面。调查人员随后将资金缺口追溯到事件首日发生的七笔可疑提现。
Axelar 于 6 月 19 日确认损失,并在数小时内关闭受影响的 Secret 与 Secret-SNIP 连接,同时强调其核心协议未遭到入侵。团队表示,已与交易所和执法机构取得联系以追踪资金,目前约 67.2 万美元仍静置在攻击者的主钱包中。
延伸阅读: 比特币 ETF 撤资创下 63.5 亿美元纪录,但恐慌性抛售或在降温
“无限铸币”缺陷误导了合约
存在漏洞的合约负责铸造 Secret 侧的跨链资产包装代币,却从未核实存入资产究竟来自哪个通道,只是将收到的代币名称与一份白名单做匹配。
研究机构 Common Prefix 在一篇事后分析中详细还原了这处单点缺口如何演变成重大事故。由于 Secret 默认隐藏转账记录,追踪攻击者的难度远高于在完全透明的公有链上进行调查。
为了利用该漏洞,攻击者先创建了一条仅有一个验证人的链,开启一个未授权通道,然后自行中继伪造的数据包,这些包中携带的代币名称直接照抄自白名单。
合约将这些伪造数据包视为合法存入,凭空铸造了真实、可赎回的代币,而背后根本没有任何资产作为支撑。
随后,攻击者再通过真正的官方通道赎回这些假币,最终在七种包装资产上掏空了托管账户。研究机构指出,这一错误逻辑自 2023 年起就存在于代码中,并在 2026 年 3 月的迁移中依然被保留。Secret 补充称,该跨链桥在最初搭建时并未委托外部审计。
跨链桥风险依旧高企
被盗资金先经 Osmosis 流转,在某去中心化交易所中被兑换成 以太币 (ETH),再被拆分到数十个新钱包,最终流入三家中心化交易所。更广泛的市场反应相对平淡,Axelar 代币当日仅下跌约 2.2%,Secret 价格基本持平。
尽管如此,此案仍让本就艰难的跨链基础设施赛道雪上加霜。采用类似“锁仓+铸币”设计的跨链桥依然是加密领域最常遭到攻击的环节,类似漏洞在 2026 年已让整个行业付出超 3.4 亿美元的代价,其中包括 Resolv 遭遇 2500 万美元漏洞、Verus 损失 1100 万美元,以及 IoTeX 约 400 万美元损失。