loading...
一名攻击者从与Axelar(AXL)关联的Secret(SCRT)桥接中盗取了约467万美元,其手段是利用了一个存在缺陷的合约,凭空铸造了无资产支撑的代币。
Secret Network的一个有漏洞合约让攻击者得以铸造无资产支撑的代币,窃取了约467万美元。
这笔盗窃案在七天内未被发现,直到一笔失败的转账暴露了资金池已被掏空。
Axelar已禁用受影响的连接,并表示其核心协议从未被触及。
这起盗窃案始于6月10日,但整整七天内无人察觉,因为Secret默认会对余额进行加密,丢失的抵押品从未在链上显示。直到6月17日,一笔常规跨链转账因托管账户资金枯竭而失败,问题才浮出水面。调查人员随后将资金缺口追溯到事发当天发生的七笔可疑提现。
Axelar于6月19日确认了损失,并在数小时内禁用了受影响的Secret和Secret-SNIP连接,同时强调其核心协议从未受到波及。团队表示已联系交易所和执法部门追踪资金去向,其中约67.2万美元仍原封不动地留在攻击者的主钱包中。
存在漏洞的合约会铸造桥接资产的Secret封装版本,但从未验证存款实际来自哪个通道,仅凭代币名称与已批准列表进行比对。
研究机构Common Prefix发布了一份事后分析报告,详细说明了这一单一漏洞如何导致问题。由于网络默认隐藏转账信息,追踪攻击者比在完全透明的公共账本上要困难得多。
为了利用该漏洞,攻击者启动了一条只有一个验证节点的链,开设了一个未授权通道,并自行中继了携带直接从允许列表中提取的代币名称的伪造数据包。合约接受了这些数据包,并铸造了真实可赎回的代币,但背后没有任何资产支撑。随后,通过合法通道赎回这些伪造代币,导致七种封装资产的托管资金被掏空。该漏洞并非新出现,该机构报告称,同样的逻辑自2023年起就存在于代码中,并在2026年3月的迁移中得以保留。Secret补充说,在最初搭建桥接时并未要求进行外部审计。
被盗资金经过Osmosis转移,在去中心化交易所兑换成以太坊(ETH),再分散到数十个新钱包中,最终流入了三家中心化交易所。市场整体反应平淡,Axelar的代币当日下跌约2.2%,Secret则基本持平。
尽管如此,这起损失仍是跨链基础设施又一个惨淡年份的一部分。建立在类似锁定-铸造设计上的桥接仍是加密货币领域最易被利用的攻击面,2026年整个行业因类似漏洞损失超过3.4亿美元。其中包括Resolv的2500万美元入侵、Verus的1100万美元损失以及IoTeX的400万美元失窃。
432
974
513
607
228
539
970
943
1015
432
