Secret Network 的 Axelar Bridge 在 7 天未检测到的无限 Mint 漏洞中损失 467 万美元

根据区块链研究公司和 Axelar 首席管理人 Common Prefix 周五发布的事后报告，攻击者利用自定义代币合约中的严重缺陷，从 Secret Network 的 Axelar 桥上窃取了约 467 万美元，而盗窃行为在 7 天之内未被注意到。

该漏洞针对 Secret Network 上的修改后的 CW20-ICS20 合约，负责处理从 Axelar 桥接的资产。该合约铸造了 Axelar 包装资产的秘密包装版本（称为 saToken），但未能验证入站传输的来源渠道。这种疏忽使攻击者能够在没有任何底层抵押品的情况下伪造存款并铸造合法的 saToken。

利用区块链间通信（IBC）通道的无需许可的特性，攻击者创建了一条单验证器 Cosmos 链，打开了一个通往易受攻击的桥接合约的通道，并自中继伪造了包含与合约白名单相匹配的代币面额的 IBC 数据包。由于合约无法区分来自 Axelar 的真实转账和这些伪造的转账，因此它开始针对虚假存款铸造 saToken。

攻击者随后通过合法的 Axelar 通道赎回这些新铸造的 saToken，提取托管中的实际资产。根据通用前缀，被耗尽的代币包括 saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB 和 sawstETH。

Common Prefix 将该漏洞追溯到 2023 年初合约的初始部署。3 月 5 日的迁移更新了新功能的字节码，保留了相同的缺失验证检查。针对此迁移代码的漏洞发生于 6 月 10 日。

Secret Network 在自己的分析中解释说，桥梁合约已从托管模型重组为专门用于 Axelar 集成的基于铸币的模型。在这次大修期间，删除了两个验证跨链传输来源的功能。值得注意的是，Secret 表示 Axelar 没有要求外部审计作为整合过程的一部分。

由于 Secret Network 的默认加密余额，丢失的抵押品在链上仍然不可见，这与以太坊等透明账本不同，在以太坊中，池子被耗尽是显而易见的。直到 6 月 17 日，由于托管账户资金不足，通过 Axelar 进行的例行跨链转账失败，资金缺口才被曝光。调查人员随后发现了 6 月 10 日执行的 7 起可疑提款事件。

Secret Network 批评缺乏监控机制，指出“Axelar 桥基础设施内没有触发有效的监控、异常检测或紧急暂停机制，以在桥资产大幅耗尽之前识别并暂时停止异常大或可疑的传输。”

这一事件与 Zcash 最近披露的一个漏洞相呼应，Zcash 是另一个注重隐私的区块链，该漏洞可能允许无限量的伪造代币创建，这一漏洞导致 ZEC 的价格暴跌超过 30%。

作为回应，Axelar 的紧急委员会禁用了 Secret 和 Secret-SNIP 连接，跨链路由器 Squid 从其前端接口中删除了 Secret。 Axelar 强调其核心协议并未受到损害，并且没有其他链、渠道或托管账户受到影响。

Secret 团队被指示停止并迁移受损的合约。根据 Common Prefix 的取证追踪，攻击者使用自动数据包转发通过 Osmosis 从 Axelar 路由被盗资产，将它们桥接到以太坊，并通过 CoW 协议将它们大部分交换为以太坊。由此产生的 ETH 被分成大约 30 笔交易，发送到新创建的钱包，然后存入 KuCoin、ChangeNow 和 HitBTC 等交易所。

尽管存在违规行为，两种原生代币的价格在披露后的 24 小时内均出现上涨：根据 The Block 的价格数据，Axelar 的 AXL 上涨了约 1.3%，而 Secret 的 SCRT 上涨了 5.6%。

这标志着 2026 年一系列重大跨链攻击中的最新一起。4 月，一名单独的攻击者从 Kelp DAO 基于 LayerZero 的桥窃取了约 2.92 亿美元的 rsETH，这一事件的连锁反应波及到了 Aave，随后社区主导的恢复工作减轻了进一步的损害。

在论坛发帖时，Secret Network 报告称，大约 77 万美元的被盗资金仍留在攻击者的 Axelar 钱包中。该团队声称已识别并标记这些资产为可恢复，并要求 Axelar 冻结这些资产或与社区合作进行恢复，但 Axelar 拒绝追究该请求。

The Block 审查的 Axelscan 公开数据显示，攻击者的钱包中仍持有 6.2 WBTC、239,324 USDC、64.04 WBNB 和 248.85 AXL，截至发布时价值约为 672,000 美元。

Axelar 反驳了指责，声称“Axelar 和 IBC 都没有受到损害。被利用的代币智能合约不是由 Axelar 开发、部署或维护的。”该团队澄清说，该缺陷存在于 Axelar 特定逻辑之外，并不是 IBC 标准本身所固有的。

The Block 无法联系到 Axelar 或 Secret Network 的代表立即发表评论。

免责声明：The Block 是一家提供新闻、研究和数据的独立媒体机构。截至 2023 年 11 月，Foresight Ventures 是 The Block 的主要投资者。 Foresight Ventures 投资于加密领域的其他公司。加密货币交易所 Bitget 是 Foresight Ventures 的主要 LP。 The Block 继续独立运营，提供有关加密行业的客观、有影响力和及时的信息。以下是我们当前的财务披露。 © 2026 街区。版权所有。本文仅供参考。它不提供或旨在用作法律、税务、投资、财务或其他建议。