跨链桥漏洞致百万美元资产被盗，追踪揭示隐蔽攻击路径

攻击者借助一个长期未修复的合约缺陷，在Secret Network与Axelar之间的桥接系统中实施了非对称攻击，通过伪造数据包创建无资产背书的代币，并成功赎回资金，造成约467万美元损失。

漏洞持续逾三年，系统未触发预警机制

此次事件暴露出的缺陷自2023年起便存在于代码逻辑中，且在2026年网络迁移过程中被保留，未被识别或修复。由于Secret默认加密账户余额，被盗资金在七天内未被察觉，直至一笔跨链转账失败才引发警报。

伪造通道与虚假验证构成核心攻击链

攻击者构建一条仅含单一验证节点的私有链，绕过正常审批流程，自行中继携带合法代币名称的数据包。合约因仅比对代币名与白名单而未做实际来源校验，错误地铸造出可赎回的封装资产，导致七种资产的托管池被清空。

资金转移路径复杂，部分赃款仍处锁定状态

被盗资产经由Osmosis链转移，兑换为以太坊后拆分至数十个新钱包，并最终流入三家中心化交易所。尽管市场反应温和，但此次事件再次凸显跨链桥作为高危攻击面的现实威胁，2026年类似漏洞已导致行业总损失超3.4亿美元。