Secret Network 4.67M 美元橋接盜竊事件源於一個缺失的檢查

一名攻擊者從與 Axelar（AXL）相關的 Secret（SCRT）跨鏈橋中竊取了約 467 萬美元，利用一個存在缺陷的合約憑空鑄造了無抵押代幣。

重點摘要：

Secret Network 跨鏈橋損失數百萬美元

此次盜竊事件始於 6 月 10 日，卻長達七天未被察覺，原因在於 Secret 預設加密餘額，缺失的抵押品從未在鏈上顯示。直至 6 月 17 日，一筆例行跨鏈轉帳因托管帳戶資金耗盡而失敗，事件才浮出水面。調查人員隨後將資金缺口追溯至事發當天的七筆可疑提款。

Axelar 於 6 月 19 日確認了這筆損失，並在數小時內停用了受影響的 Secret 及 Secret-SNIP 連接，同時強調其核心協議從未受到波及。團隊表示已聯繫交易所和執法機構追蹤資金，其中約 67.2 萬美元仍原封未動地存放在攻擊者的主錢包中。

延伸閱讀： Bitcoin ETF 資金外流創下 63.5 億美元歷史新高，但恐慌性拋售或正趨緩

無限鑄幣漏洞欺騙了合約

該漏洞合約會鑄造跨橋資產的 Secret 封裝副本，但從未驗證存款真正來自哪個通道，僅將代幣名稱與白名單進行比對。

研究機構 Common Prefix 發布了一份事後分析報告，詳細說明了這單一漏洞如何被利用。由於該網絡預設隱藏轉帳記錄，追蹤攻擊者的難度遠高於在完全透明的公共帳本上進行追蹤。

為實施攻擊，攻擊者搭建了一條只有一個驗證者的鏈，開設了一個未授權通道，並自行中繼偽造的數據包，其中攜帶的代幣名稱直接從白名單中提取。

合約接受了這些數據包，並鑄造出毫無任何支撐的真實可贖回代幣。

通過正規通道贖回這些偽造代幣，隨即將七種封裝資產的托管資金悉數清空。此漏洞並非新問題，該機構報告指出，相同的邏輯自 2023 年起便存在於代碼中，並在 2026 年 3 月的遷移中得以保留。Secret 方面補充說明，在跨鏈橋最初建構時並未申請任何外部審計。

跨鏈橋持續面臨風險敞口

被盜資金流經 Osmosis，在去中心化交易所換成 Ether（ETH），並分散至數十個新錢包，最終流入三家中心化交易所。整體市場反應保持平靜，Axelar 代幣當日降低了約 2.2%，Secret 則基本持平。

儘管如此，此次損失延續了跨鏈基礎設施慘淡的一年。採用類似鎖定鑄幣設計的跨鏈橋仍是加密領域中最常遭受攻擊的目標，2026 年因類似漏洞造成的行業損失已超過 3.4 億美元。其中包括 Resolv 遭受的 2,500 萬美元安全事故、Verus 損失的 1,100 萬美元，以及 IoTeX 承受的 400 萬美元損失。

下一篇： JaredFromSubway 機器人自食其果，損失 750 萬美元