區塊鏈研究公司兼 Axelar 主要管理方 Common Prefix 週五發布的事後報告指出，一名攻擊者利用客製化代幣合約中的漏洞，從 Secret Network 的 Axelar 跨鏈橋盜取了約 467 萬美元，而這起盜竊案長達七天未被發現。

這次攻擊針對的是 Secret 鏈上一個經過修改的 CW20-ICS20 合約，該合約負責處理從 Axelar 橋接過來的資產。該合約鑄造了 Axelar 封裝資產的 Secret 封裝版本（稱為 saTokens），卻沒有檢查入站轉帳實際來自哪個通道。這個漏洞讓攻擊者能夠偽造存款，並鑄造出沒有任何實際資產支持的真正 saTokens。

開啟一個 IBC 通道無需許可，因此攻擊者採取了一個可以說是聰明的舉動：他啟動了一個單驗證者 Cosmos 鏈，向該跨鏈橋合約開啟了一個通道，並自行轉發了攜帶與合約白名單相符的代幣面額的偽造封包。該合約無法區分這些裸代幣面額與透過 Axelar 實際通道到達的代幣，因此它根據這些偽造的代幣鑄造了 saTokens。隨後，透過合法的 Axelar 通道贖回這些鑄造的餘額，便釋放了託管中的實際資產。

根據 Common Prefix 的說法，這次資金流失涉及七種 saTokens：saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB 和 sawstETH。

這個漏洞並非新問題。Common Prefix 將其追溯到合約於 2023 年初首次部署時，而 3 月 5 日的遷移（更新了位元碼以加入新功能）也將相同的檢查缺失帶了過來。6 月 10 日的攻擊就是針對這個已遷移的程式碼。

Secret Network 在其自身的報告中表示，該跨鏈橋合約為了與 Axelar 整合，從託管模型改編為鑄造模型，而原本用於驗證轉帳來源的兩個功能在這次改寫中被移除。Secret 團隊補充說，Axelar 在整合過程中並未要求進行外部審計。

網路上的餘額預設是加密的，因此遺失的抵押品不像以太坊上的資金池被耗盡那樣能夠在鏈上直接看到。這次短缺直到 6 月 17 日才浮出水面，當時 Axelar 上的一次正常跨鏈轉帳失敗，並顯示託管帳戶不再有足夠的資金來支付。調查人員將這個缺口追溯到 6 月 10 日進行的七筆提款。

然而，Secret 在其貼文中辯稱：「在 Axelar 的跨鏈橋資產被大量盜取之前，Axelar 跨鏈橋基礎設施內沒有觸發任何有效的監控、異常偵測或緊急暫停機制，來識別並暫時中止異常大額或可疑的轉帳。」

這一發現與最近在 Zcash（另一個加密網路）上發現的漏洞有幾分相似，該漏洞可能允許駭客在資金池中創建「無限」數量的假冒代幣。該漏洞的披露導致 ZEC 代幣價格下跌超過 30%。

Axelar 的緊急委員會在發現問題後禁用了 Secret 和 Secret-SNIP 連接，而跨鏈路由器 Squid 也將 Secret 從其前端移除。Axelar 表示其核心協議從未受到影響，也沒有其他鏈、通道或託管帳戶被觸及。Secret 團隊已被通知停止並遷移受影響的合約。

Common Prefix 的追蹤顯示，駭客被盜的資產被提取到 Axelar，透過 Osmosis 使用自動封包轉發路由，然後橋接到以太坊，並主要在 CoW Protocol 上兌換成以太幣。這些以太幣被分成大約 30 筆轉帳到新的錢包，最後存入 KuCoin、ChangeNow 和 HitBTC 的存款地址。

儘管此事件被披露，兩種代幣在過去 24 小時內都出現了價格上漲。根據 The Block 的 Axelar 價格頁面，Axelar 的 AXL 上漲了約 1.3%，而 Secret 的 SCRT 在發稿時過去一天內上漲了 5.6%。

這次資金流失是 2026 年一系列跨鏈漏洞利用中的最新一起。今年 4 月，一名攻擊者從 Kelp DAO 基於 LayerZero 的跨鏈橋中盜取了約 2.92 億美元的 rsETH，這是一起規模更大的事件，其影響蔓延到 Aave，最終在社區的恢復努力下才得以控制。

Secret Network 在其論壇貼文中表示，在發布貼文時，被盜資金中約有 77 萬美元仍留在攻擊者的 Axelar 錢包中。Secret 表示已識別出這些資產，將其標記為可恢復，並請求 Axelar 團隊凍結這些資產或與其社區合作進行凍結，但「他們已決定不執行此請求」。Axelar 另外表示，它正在與交易所和執法部門協調，尚未提供恢復連接的時間表。

The Block 查閱的 Axelarscan 資料顯示，攻擊者的 Axelar 錢包仍持有 6.2 枚 WBTC、239,324 枚 USDC、64.04 枚 WBNB 和 248.85 枚 AXL，按發稿時的價格計算，價值約 672,000 美元。

Axelar 駁斥了任何將失敗歸咎於其方的解讀。該團隊在後續貼文中寫道：「Axelar 和 IBC 都沒有被洩露。」「被利用的代幣智能合約並非由 Axelar 開發、部署或維護。」該團隊表示，該漏洞不在 Axelar 特定的邏輯中，也不在 IBC 本身。

The Block 未能立即聯繫到 Axelar 或 Secret Network 請求置評。