Axelar 澄清：4.67 百萬美元 Secret Network 跨鏈橋被盜源於分叉合約漏洞

Axelar 就與 Secret Network 相關的 467 萬美元資產被盜事件作出澄清，指事故源頭為 Secret Network 上一份經分叉並被修改的合約移除了關鍵鑄幣安全檢查，並非 Axelar 或 InterBlockchain Communication（IBC）協議遭入侵。事件源於研究機構 Common Prefix 發布的事後分析報告，將 6 月 10 日的攻擊追溯至 Secret Network 的一份脆弱智能合約。 Axelar 表示，被利用的合約並非由其團隊開發、部署或維護。該合約為 CW20ICS20 實作（用於將經 IBC 進入的資產進行封裝）的分叉版本，開發者移除了原本用以阻止未授權鑄幣的兩項核心安全檢查，令合約出現可進行「無限鑄造」的漏洞。Axelar 指，改動後的版本改變了合約的信任假設，但未進行新的安全審計；Common Prefix 的調查亦得出相近結論。 根據 Common Prefix，該合約在鑄造名為 saTokens 的 Secretwrapped 資產時，未有驗證入站轉帳的來源通道，攻擊者因此可自行建立一條單驗證人 Cosmos 鏈，並與該合約建立 IBC 連接，再發送偽造封包，夾帶已獲批准的代幣面額，從而在無抵押支持下獲得「合法」的 saTokens。 是次漏洞波及 7 種資產，包括 saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB 及 sawstETH。Common Prefix 指，攻擊者其後透過 Axelar 的正常通道兌回相關資產，並提走橋接託管（escrow）帳戶內的資金。調查顯示，漏洞可追溯至 2023 年初該合約首次部署；3 月 5 日的遷移亦沿用同樣缺失的驗證檢查。 失竊直至 6 月 17 日才被發現，當時一次例行跨鏈轉帳因託管帳戶資金不足而失敗。Secret Network 指，由於餘額採加密機制，資金缺口較難及時察覺；網絡亦表示，在較早前的合約重設中，負責驗證轉帳來源的功能已被移除。 事件曝光後，Axelar 已停用與 Secret 及 SecretSNIP 的連接；跨鏈路由器 Squid 亦把 Secret Network 從其介面移除。Axelar 強調，其防火牆式隔離措施令問題未有擴散至受影響合約以外，其他鏈、託管帳戶、通道及核心協議元件均未受影響。 另一方面，Common Prefix 追蹤到失竊資產曾流經 Osmosis 及以太坊，隨後交易所與執法部門介入。Axelar 表示正持續與相關各方協調，並維持受影響連接離線狀態。