最优质的加密货币资讯直接发送到您的邮箱。.
- 攻击者利用 Secret Network 智能trac中缺失的验证检查,铸造了价值 467 万美元的无担保 Axelar 桥接代币,并从托管账户中窃取了真实资产。.
- 该缺陷自 2023 年 3 月起就存在于已部署的代码中。.
- Axelar 将损害控制在单个 IBC 路由上,但该dent 再次给 Cosmos 生态系统和更广泛的加密货币市场的跨链桥安全带来了压力。.
根据 Axelar 6 月 19 日的声明,攻击者利用基于 ICS-20 的智能trac进行跨链转账,导致 Secret Network 中价值约 467 万美元的代币被盗。.
dent 事件暴露了连接基于 Cosmos区块链的桥接基础设施的另一个缺陷,但 Axelar 表示,问题仅限于 Secret 端用于 Secret 和 Axelar 之间 Cosmos IBC 连接中的 ICS-20 智能trac。该公司称,Axelar 的核心协议、其他 IBC 连接、其他区块链和其他托管账户均未受到影响。.
被盗资产是连接 Axelar 和 Secret Network 的代币,Secret Network 是一个基于 Cosmos SDK 构建的注重隐私的区块链。据区块链安全研究公司 Common Prefix 称,攻击者利用 Secret Network 上一个被修改的 CW20-ICS20 代币trac,窃取了七种资产,总价值约 467 万美元,其中包括 Wapped USDT、USDC、DAI、WETH、WBTC、BNB和 wstETH。.
秘密侧trac缺陷导致 Axela 桥接资产流失
,Common Prefix 表示,该漏洞存在于 Secret Network 上部署的用于处理传入 IBC 转账的修改版 CW20-ICS20 合约trac据 Binance Square。
该trac用于在用户使用 IBC 协议将代币存入 Secret 后生成 Axelar 桥接代币的封装形式。然而,该trac并未验证两个重要的前提条件:代币转移是否确实通过 Axelar 控制的合法 IBC 通道发起,以及赎回请求的金额是否超过托管账户中的可用金额。.
如果忽略这些前提条件,只要令牌 ID 在允许列表中,trac就会接受所有恶意 IBC 数据包作为有效数据包。.
伪造的 IBC 数据包创建了未支持的封装令牌
根据 Common Prefix 的分析,攻击者创建了一个最小的 Cosmos 区块链,其中包含一个验证器,打开了一条通往 Secret Network 的新 IBC 通道,并通过该通道发送了虚假的存款数据包。.
存在漏洞的trac接收到数据包后,在 Secret 上创建了无担保的包装代币。攻击随后通过 Axelar 的机制赎回这些包装代币,清空了托管账户中实际的桥接资产。.
Common Prefix 声称该trac没有检查令牌来自哪个 IBC 通道。这使得通过受控链发送的恶意数据包有可能被接受为正确的桥接操作。.
这个问题似乎已经存在很长时间了。Common Prefix trac2023 年早期公开提交的代码,发现缺失的验证机制依然存在,并指出 2026 年 3 月的一次迁移沿用了相同的逻辑,而不是修复这个根本缺陷。.
结构性故障在于消息认证。系统假定上游组件会处理认证,但攻击者的路由配置破坏了这一假定。因此,当通道和令牌条件匹配时,伪造的消息就能通过。.
应急响应措施隔离受影响路线
Axelar 表示,他们的应急工作组在dentdent后立即断开了与 Secret Network 相关的 IBC 连接。.
该组织强调,Axelar的核心协议并未遭到破坏,问题仅限于Secret Network。Axelar还表示,他们正在与交易所和执法部门联系。.
对于通过受影响路径将资产从 Axelar 桥接到 Secret 的用户而言,眼下最紧迫的问题是赎回。由于托管账户资金被清空,Secret 上的封装资产将无法再通过该渠道兑换为相应的底层代币。.
此外,由于 Secret Network 默认加密余额和转账,因此其恢复过程可能比典型的公链桥漏洞攻击更为复杂。这意味着攻击者的钱包和攻击交易更难通过标准的公共区块浏览器进行检查。.
桥梁安全面临又一次验证测试
467 万美元的损失虽然小于一些最大的桥接攻击事件,但这次dent 仍然意义重大,因为它击中了一个熟悉的弱点:跨链消息验证。.
正如 Cryptopolitan 此前报道,本月 Syscoin 桥接服务因攻击者利用验证漏洞铸造了约 50 亿枚未经授权的 SYS 代币而被暂停。这一事件dent 2026 年桥接漏洞事件的数量进一步增加。
今年 2 月,攻击者利用 CrossCurve 协议智能合约中的漏洞,导致 CrossCurve 损失了约 300 万trac根据 Halborn 的事后分析。
Secret 事件证明,跨链基础设施中一个未被解决的假设就足以导致整个托管资金被盗dent发生。底层协议可能保持完好无损,但位于桥梁边缘的trac仍然可能使用户资金面临风险。.
Axelar 和 Secret Network 都已声明正在编写完整的事故分析报告。在此之前,此次被攻破的通道警示我们,桥接安全不仅关乎主协议,还关乎所有处理跨链通信的智能trac。.
如果你正在阅读这篇文章,你已经领先一步了。 订阅我们的新闻简报,继续保持领先优势。
常见问题解答
Axelar Secret Network漏洞中被盗的代币有哪些?
根据 Common Prefix 的分析,七种 Axelar 封装的代币类型被洗劫一空:saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB和 sawstETH,总计约 467 万美元。.
Axelar 的核心协议是否遭到破坏?
不。Axelar 表示,该漏洞仅限于部署在 Secret Network 上的修改版 ICS-20 智能trac,其他链、IBC 连接或托管账户均未受到影响。.
被盗资金能否被 trac或追回?
由于 Secret Network 默认对余额和转账进行加密,攻击者的钱包和攻击交易无法通过公共浏览器访问,因此恢复过程十分复杂。Axelar 表示正在联系交易所和执法部门。.
免责声明:本页面提供的信息并非交易建议。Cryptopolitan.com对任何基于本页面信息进行的投资概不负责。我们tron您在做出任何投资决定前进行独立dent /或咨询合格的专业人士。Cryptopolitan研究
米卡·阿比奥顿
Micah Abiodun充分利用他在塔林理工大学(TalTech)获得的环境工程与管理硕士学位,为 Cryptopolitan撰写内容和价格预测新闻。如今,他已在加密货币媒体领域耕耘七年,报道主流加密货币、山寨币、 DeFi、稳定币、宏观趋势和新兴技术。
学速成课程
- 哪些加密货币可以让你赚钱
- 如何通过钱包提升安全性(以及哪些钱包真正值得使用)
- 专业人士使用的鲜为人知的投资策略
- 如何开始投资加密货币(使用哪些交易所、购买哪种加密货币最划算等)