自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
10.00% 90.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

Secret Network Axelar 漏洞利用致 467 万美元被盗

2026-06-23 01:52:48
收藏

攻击者利用一个存在漏洞的代币合约,从Secret Network与Axelar的桥接中盗取了约467万美元。攻击发生在6月10日,一周后由于一笔跨链转账因相关托管账户资金不足而失败,才被发现。

Common Prefix表示,攻击者铸造了无担保的Axelar封装资产(称为saTokens),并通过正常渠道将这些代币兑换成了托管账户中的真实资产。

攻击者将资金跨以太坊转移

受影响的资产包括saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH。攻击者先将资金通过Axelar和Osmosis转移,然后桥接至以太坊。

据Common Prefix报道,大部分资产通过CoW Protocol兑换为以太币,部分转账随后流向KuCoin、ChangeNow和HitBTC的存款地址。

此次攻击涉及应用层合约。Axelar表示其核心协议和跨链通信(IBC)并未被攻破。

Secret Network是Cosmos生态系统中一条专注于隐私的Layer 1链。Axelar连接不同区块链以实现跨链转账。Axelar表示,该存在漏洞的合约并非由其团队开发、部署或维护。

缺失检查导致无担保代币被铸造

该合约在铸造saTokens之前未验证入站转账的来源。攻击者控制的通道可以提交伪造的存款,合约随后在没有对应抵押品的情况下发行了代币。

攻击者将无担保资产兑换成了托管中的真实Axelar封装代币。此次攻击表明,即使底层网络保持安全,合约漏洞也可能导致桥接损失。

Secret Network表示,其桥接设计已从托管模式转为铸造模式。在此变更过程中,两个用于检查转账来源的函数被移除。该团队还称,Axelar未要求对该集成进行外部审计。

隐私层延迟了发现

Secret Network默认对余额进行加密,这使得抵押品缺失比以太坊上可见的资金池流失更难发现。6月17日一次常规转账失败后,资金短缺问题才暴露。

调查人员将资金缺口追溯到6月10日的七次提现。攻击发生时并未被检测到。Secret Network称,其监控和紧急暂停系统未能阻止这些转账。

Axelar否认其核心基础设施导致此次事件的说法,称该漏洞不属于Axelar特有逻辑或IBC范畴。

Axelar和Squid禁用连接

发现后,Axelar的紧急委员会禁用了Secret和Secret-SNIP连接。跨链路由器Squid也将Secret从其前端移除。Axelar表示,没有其他链、通道或托管账户受到影响。

Secret Network表示已识别出可回收资产,并要求Axelar冻结剩余资金。其论坛帖子称Axelar未执行该请求。Axelar则表示正在与交易所和执法部门协调。

随后,Axelarscan数据显示,攻击者钱包中约有价值67.2万美元的WBTC、USDC、WBNB和AXL。

漏洞自2023年就已存在

Common Prefix将缺失的验证追溯到合约在2023年初的初始部署。3月5日的一次迁移增加了新功能,但保留了该漏洞。6月10日的攻击者正是针对更新后的代码。

据DeFiLlama记录,当月至少有22起协议攻击,此次攻击是其中之一。

SCRT和AXL未受直接影响

Secret Network表示其SCRT代币未受直接影响,AXL也不在受影响合约中。根据引用的市场数据,这两个代币在事件披露后反而上涨。

但这一价格变动并未消除saToken持有者的风险。Secret Network表示,受影响资产可能不再有完全担保。

结论

此次攻击源于铸造合约中缺少来源检查。虚假存款生成了无抵押的可赎回代币。Axelar表示其核心协议未受损害,但该事件暴露了合约设计和监控方面的漏洞。

附录:关键术语表

桥接(Bridge)

在不同区块链网络之间转移代币或数据的系统。

托管(Escrow)

为支持封装代币或完成转账而预留的资产。

无限铸造漏洞(Infinite Mint Bug)

允许未经授权创建无适当担保代币的漏洞。

跨链通信(IBC)

Cosmos生态中用于区块链间通信的标准。

saTokens

在Secret Network上使用的Axelar封装资产。

智能合约(Smart Contract)

遵循预设规则自动执行的区块链代码。

封装资产(Wrapped Asset)

代表另一条区块链上资产的代币。

关于Secret Network Axelar攻击的常见问题

1. 此次攻击的原因是什么?

合约在铸造saTokens时未检查入站转账。攻击者将这些无担保代币兑换成了托管中的真实资产。

2. 被盗金额是多少?

据报道,损失约为467万美元。

3. Axelar的核心网络是否被攻破?

没有。Axelar表示其核心协议和IBC并未受到损害。

4. 哪些资产受到影响?

受影响的代币包括saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH。

展开阅读全文
更多新闻