秘密网络467万美元跨链桥劫案：始于一次遗漏的检查_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

秘密网络467万美元跨链桥劫案：始于一次遗漏的检查

2026-06-22 03:31:31

攻击者利用漏洞合约空手套白狼，从Secret Network桥接中窃取约467万美元

一名攻击者从与Axelar（AXL）关联的Secret（SCRT）桥接中盗取了约467万美元，其手段是利用了一个存在缺陷的合约，凭空铸造了无资产支撑的代币。

关键要点：

Secret Network的一个有漏洞合约让攻击者得以铸造无资产支撑的代币，窃取了约467万美元。

这笔盗窃案在七天内未被发现，直到一笔失败的转账暴露了资金池已被掏空。

Axelar已禁用受影响的连接，并表示其核心协议从未被触及。

Secret Network桥接损失数百万美元

这起盗窃案始于6月10日，但整整七天内无人察觉，因为Secret默认会对余额进行加密，丢失的抵押品从未在链上显示。直到6月17日，一笔常规跨链转账因托管账户资金枯竭而失败，问题才浮出水面。调查人员随后将资金缺口追溯到事发当天发生的七笔可疑提现。

Axelar于6月19日确认了损失，并在数小时内禁用了受影响的Secret和Secret-SNIP连接，同时强调其核心协议从未受到波及。团队表示已联系交易所和执法部门追踪资金去向，其中约67.2万美元仍原封不动地留在攻击者的主钱包中。

“无限铸造”漏洞欺骗了合约

存在漏洞的合约会铸造桥接资产的Secret封装版本，但从未验证存款实际来自哪个通道，仅凭代币名称与已批准列表进行比对。

研究机构Common Prefix发布了一份事后分析报告，详细说明了这一单一漏洞如何导致问题。由于网络默认隐藏转账信息，追踪攻击者比在完全透明的公共账本上要困难得多。

为了利用该漏洞，攻击者启动了一条只有一个验证节点的链，开设了一个未授权通道，并自行中继了携带直接从允许列表中提取的代币名称的伪造数据包。合约接受了这些数据包，并铸造了真实可赎回的代币，但背后没有任何资产支撑。随后，通过合法通道赎回这些伪造代币，导致七种封装资产的托管资金被掏空。该漏洞并非新出现，该机构报告称，同样的逻辑自2023年起就存在于代码中，并在2026年3月的迁移中得以保留。Secret补充说，在最初搭建桥接时并未要求进行外部审计。