Secret Network跨链桥遭恶意利用致数百万美元资产流失

一名攻击者通过利用与Axelar（AXL）关联的Secret（SCRT）桥接中存在的合约缺陷，成功实现无资产支撑的代币铸造，从而盗取了价值约467万美元的数字资产。

漏洞合约被滥用导致资金池枯竭

攻击者借助存在设计缺陷的合约，绕过真实资产验证机制，仅凭代币名称匹配即可触发代币铸造流程。这一漏洞使得非法生成的代币可被合法赎回，造成托管资金被系统性抽空。

七日沉默期后因转账失败暴露异常

此次攻击自6月10日启动，持续七天未被发现，主要由于Secret Network默认对账户余额进行加密处理，被盗抵押品始终未在链上可见。直到6月17日，一笔常规跨链交易因托管账户余额不足而失败，才引发警觉。后续调查确认，七笔可疑提现为损失源头。

攻击路径揭示“无限铸造”逻辑漏洞

存在缺陷的合约仅依据代币名称是否在白名单中来决定是否铸造封装资产，而未核实其实际来源通道。攻击者借此构建一条仅含单个验证节点的私有链，伪造来自授权通道的数据包，并注入已批准代币名称，诱导合约生成无对应资产支持的代币。

研究机构Common Prefix指出，该漏洞自2023年起便存在于代码中，并在2026年3月的系统迁移过程中未被清除。此外，Secret Network在初始部署桥接时并未执行外部安全审计，埋下长期隐患。

资金流向复杂，多平台追踪仍存挑战

被盗资产经由Osmosis转移，兑换为以太坊（ETH）后，被拆分至数十个新钱包，并最终流入三家中心化交易所。尽管市场反应相对平静——Axelar代币当日跌幅约2.2%，Secret价格基本持平，但此事件再次凸显跨链基础设施的安全脆弱性。

数据显示，2026年已有超过3.4亿美元因类似锁定-铸造架构的桥接漏洞遭受损失，包括Resolv 2500万美元、Verus 1100万美元及IoTeX 400万美元等重大事件。此类设计仍是当前加密生态中最易被攻破的环节之一。