攻击者通过操纵一个经过修改的CW20-ICS20合约,绕过资产来源验证机制,在Secret Network上生成无抵押的saTokens。该漏洞源于桥接系统在迁移过程中移除了两个关键的通道校验函数,使伪造数据包得以被误认为合法传输。攻击者借助单验证器链建立Ibc通道,注入匹配白名单面额的虚假交易数据,触发合约自动铸币,随后通过真实Axelar通道提兑,完成资金套现。
此次攻击直至6月17日才被察觉,起因是一笔正常转账因托管账户余额不足而失败。调查追溯发现,七笔异常提款发生于一周前。由于Secret Network默认采用加密余额设计,缺失的抵押品无法像公开链那样直观呈现,导致常规链上监测难以及时识别风险。尽管协议已调整为铸造模型以适配Axelar集成,但核心验证逻辑的缺失使得监控与应急响应机制形同虚设。
被盗资产经由Axelar转发至Osmosis,再跨链至以太坊。大部分代币通过CoW Protocol兑换为ETH,并拆分为约30笔转账,分散至KuCoin、ChangeNow及HitBTC等平台。Axelar紧急委员会随即关闭Secret及Secret-SNIP连接,Squid亦从其前端移除相关支持。尽管官方声明核心协议未受损,但对剩余约67.2万美元资产的冻结请求遭拒,引发社区对责任边界与治理协调能力的质疑。
此事件揭示:跨链风险不仅来自底层协议,更深植于合约自定义环节。缺乏外部审计、验证机制缺失以及应急暂停功能的缺席,共同促成了局部漏洞向全局损失的转化。投资者需关注的不仅是损失规模,更是事后应对机制的有效性。
该事件是2026年系列跨链攻击中的又一例证。此前LayerZero桥接被攻破导致逾2.9亿美元损失,凸显桥接系统在高价值守护下的脆弱性。即使底层IBC与Axelar协议未受侵扰,仅因合约层存在验证盲区,仍可造成实质性资产外流。隐私设计虽保护用户,却也隐藏了流动性危机,加剧了风险探测难度。未来协议必须在隐私、流动性和风控之间建立更平衡的权衡机制,强化部署前审计、运行中监控与突发情况下的快速干预能力。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.