Secret Network 損失 467 萬美元,Axelar 跨鏈駭客攻擊竟潛伏七天未被發現
Secret Network 損失 467 萬美元,Axelar 跨鏈駭客攻擊竟潛伏七天未被發現
2026 年 6 月 21 日,Common Prefix 的研究人員發表了一份關於涉及 Secret Network 和 Axelar 連接合約的跨鏈橋事件調查報告。據稱,攻擊者利用了 Secret 端的 ICS-20 橋接合約中的一個漏洞,偽造了「存款」,鑄造了無擔保代幣,並提取了約 467 萬美元 的流動性。
此事件之所以尤具啟發性,不僅在於損失金額,更在於其時間軸:據報導,此次駭客攻擊持續了約一週才被發現,而首次被察覺的跡象並非警報,而是當一筆合法的轉帳操作失敗時出現的營運故障。
本文將深入探討事件經過、跨鏈系統中為何此類故障模式如此常見,以及在 2025-2026 年加密貨幣產品設計中,互通性日益成為標配之際,用戶和開發者應如何降低風險。
事發經過(據報導):清晰的時間線,遲來的警報
根據已公開的調查結果:
- 2026 年 6 月 10 日:攻擊者開始濫用 Secret Network ↔ Axelar 跨鏈橋合約中的一項漏洞,透過偽造入站轉帳狀態並無抵押鑄造代幣。
- 2026 年 6 月 10 日至 17 日:攻擊者反覆將鑄造的資產轉換為更具流動性的代幣,並將所得資金導出。
- 2026 年 6 月 17 日:一次正常的跨鏈轉帳失敗,原因是橋接合約的託管/托管帳戶資金不足——這才暴露了異常。
這種「悄無聲息地榨乾,直到用戶觸礁」的模式是橋接合約常見的營運風險:如果監控重點僅在於正常運行時間和訊息吞吐量(而非經濟性不變量),駭客攻擊就可能隱藏在眼皮底下。
對於希望回顧 IBC 風格代幣轉帳典型模式(一邊託管,另一邊鑄造代表代幣)的讀者,Secret Network 關於 IBC 和 ICS-20 相關工具的文檔 是個不錯的起點。
根本原因(如所述):當託管模式轉變為鑄造模式
已公開的分析報告將核心錯誤歸因於合約的重構:從託管/托管流程轉變為鑄造流程——在此過程中,移除了用於驗證轉帳來源的關鍵檢查。
簡單來說:
- 橋接合約收到一條跨鏈訊息,聲稱「鏈 A 已為用戶 Y 存入 X 代幣」。
- 目標合約必須驗證該訊息確實來自預期的通道/閘道/發送者。
- 之後才能鑄造或釋放資產。
根據報告,有漏洞的合約移除了兩項負責驗證轉帳來源的關鍵功能,這使得攻擊者能夠提交看似有效的入站轉帳數據,並觸發無實際 backing 的鑄造。
更糟的是,報告指出該合約自2023 年初就已部署,且從未經過外部審計——對於任何控制跨鏈鑄幣權限的合約而言,這種治理和流程上的疏忽是難以辯解的。
若想了解基礎設施層的橋接合約審計預期應該多麼嚴謹,您可以參考 Axelar 的公開審計資源,位於 Axelar Network 的審計倉庫,以及 Axelar 在其關於 Axelar 核心安全性的貼文 中的觀點。
為何未被發現:「金庫」被掏空前的「無警報」
Secret Network 方面的關鍵論點是,在大量價值流失之前,Axelar 的橋接基礎設施未能觸發有效的異常偵測或緊急暫停機制。
無論最終責任歸咎於應用合約、橋接提供者,還是共享營運,此事的啟示更為廣泛:
跨鏈系統需要經濟監控,而不僅是技術監控
橋接合約不僅僅是「訊息管道」。它們是具有不變量的金融系統:
- 鑄造供應量 vs. 託管備付
- 每日鑄造上限
- 單一路由的暴露上限
- 異常贖回/交換模式
- 失敗轉帳激增(通常是後期症狀)
到了 2026 年,業內已開始重新評估此類風險。例如,在另一樁由橋接事件引發的事件後,Aave 收緊了掛牌和風險標準——突顯了橋接合約的脆弱性如何影響 DeFi 貨幣市場(CoinDesk 報導)。
資金去向:經 Osmosis 路由,於 Ethereum 結算,再透過 CEX 離場
已公開的資金追蹤顯示了一條熟悉的洗錢路徑:
- 資產透過Cosmos 流動性網絡進行路由,據報導是通過Osmosis,它是一個主要的跨鏈 DEX 中心(參見 Osmosis 文檔)。
- 之後,所得資金透過橋接到Ethereum,並使用CoW Protocol(參見 CoW Protocol 文檔)交換成ETH,然後分散到多個地址。
- 據報導,部分資金已流入集中式交易場所,包括KuCoin、ChangeNow 和HitBTC。
報告還聲稱,在發布時,約有 672,000 美元 仍留在一個由攻擊者控制的 Axelar 錢包中,並且凍結該地址的請求被拒絕——儘管 Axelar 強調被利用的合約並非由 Axelar 開發或維護,且 Axelar 的核心協議並未受到損害。
此事件對 2025-2026 年橋接風險的啟示
互通性正在加速發展——錢包用戶體驗正趨向「一鍵跨鏈」,應用程式也日益預設支援鏈抽象。但這種便利性也透過三種方式擴大了攻擊面:
- 越來越多的合約獲得了某處的鑄幣權(而鑄幣權在代幣設計中是最高權限)。
- 合約重構頻繁,因為團隊追求更快的路由、更低的費用和更好的用戶體驗——這往往會引入回歸錯誤的風險。
- 責任變得模糊,橫跨應用團隊、橋接提供者、繼電器和監控堆棧。
結果是:即使橋接網絡本身穩健,單個薄弱的整合合約也可能成為故障點。
實用建議
對於開發者:縮小「鑄幣權力範圍」
- 將任何跨鏈鑄幣合約視作系統重要性的組件:強制要求外部審計、正式的審核流程和持續監控。
- 添加熔斷機制:設置速率限制、單資產上限,以及與不變量違反行為相關的自動暫停觸發器。
- 監控每個通路的備付與鑄造供應量;對偏差發出警報,而不僅僅是正常運行時間。
- 在「模型變更」(託管 → 鑄造,反之亦然)期間,避免移除驗證邏輯,除非經過對抗性審查和回歸測試。
對於用戶:假定橋接的風險高於現貨交換
- 只將您需要的資產保留在橋接代幣中;不要將包裝資產視為長期冷儲存。
- 橋接後,考慮將資金轉移至自我託管,並在進一步互動前驗證您收到的資產(鏈、幣種、合約)。
- 優先選擇您可以獨立驗證您簽署內容及其去向的工作流程——尤其是在跨越多個節點進行橋接和交換時。
OneKey 的作用:跨鏈世界中的自我託管
橋接事件提醒我們,「 不是你的私鑰,就不是你的幣」只是故事的一半——另一半是最大限度地減少您在複雜智能合約路線中停留的時間和價值。
像 OneKey 這樣的硬體錢包,透過將私鑰離線格納,並在簽署前更方便地審查和確認目標地址及交易意圖,可以提供幫助——這是一種重要的習慣,尤其是在跨鏈用戶體驗可能模糊幕後操作時。
在 2026 年的多鏈現實中,最安全的預設做法是:僅在需要時進行橋接,驗證每一次簽名,並在完成後返回自我託管。
