跨链桥接中的合约漏洞如何被利用?

一名攻击者通过在Secret Network上部署的经过修改的CW20-ICS20合约,绕过资产转移验证机制,成功伪造跨链存款。该合约本应仅接受来自Axelar官方通道的资产注入,却因缺少对传输来源的校验逻辑,无法区分真实与伪造数据包。攻击者借助单验证器的Cosmos链开启IBC通道,发送与白名单代币面额一致的伪造数据包,触发合约自动铸造出无实际支撑的saTokens。随后,攻击者通过合法通道兑付这些代币,从托管账户中提取真实资产。此次事件影响了saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和sawstETH共七种封装代币。

为何攻击延迟一周才被发现?

攻击发生于6月10日,直至6月17日才暴露,源于一次正常转账失败。调查发现,Axelar托管账户已无足够资产完成兑付,进而追溯至一周前的七笔异常提款。由于Secret Network默认采用加密余额设计,资产流失无法像公开链那样通过链上流动性池变化直接观测,导致常规监控手段失效。Secret Network指出,其桥接架构从托管模型转向铸造模型时,移除了两个关键的来源验证函数,而Axelar在集成过程中未强制要求外部审计。这使得整个流程缺乏有效的异常检测或紧急暂停机制,未能及时阻断攻击行为。

被盗资金的去向与追回挑战

攻击者将赃款经由Axelar路由,通过Osmosis跨链至以太坊,并利用CoW Protocol将其兑换为以太币。随后资金被拆分为约30笔交易,转入多个新钱包,并分发至KuCoin、ChangeNow及HitBTC等平台的充值地址。Axelar紧急委员会随即禁用了Secret及Secret-SNIP连接,Squid跨链路由器也从前端移除Secret Network支持。尽管Axelar强调其核心协议未受损,且无其他链或账户受影响,但Secret Network表示仍有约77万美元资金滞留在攻击者的Axelar钱包中,请求冻结未果。后续数据显示,约67.2万美元仍处于该钱包内,包括WBTC、USDC、WBNB和AXL代币。目前,Axelar正与交易所及执法部门协调,但尚未公布恢复时间表,引发用户对资金追回前景的担忧。

对投资者与跨链生态的关键启示

本次事件表明,跨链风险不仅存在于底层通信协议,更可能源自自定义合约的集成缺陷。一个未经充分验证的通道处理逻辑,配合隐私保护机制带来的隐蔽性,足以放大技术漏洞的后果。投资者需关注合约修改历史、审计覆盖范围、暂停机制有效性以及团队在危机中的响应速度。此外,当技术故障演变为治理争议时,追回过程将面临更大不确定性。跨链系统所承载的价值日益庞大,促使协议必须重新评估“信任最小化”原则——安全性不再仅依赖消息协议本身,还需建立严格的集成审查、实时监控与应急控制体系。