Ai总结： 一名黑客利用Secret Network桥接中的长期存在漏洞，通过伪造数据包凭空生成无资产支撑的代币，盗取约467万美元。该事件在七天内未被察觉，直至转账失败才暴露，目前部分资金仍滞留在攻击者钱包中。

Secret Network跨链桥遭恶意利用，数百万美元资产被悄然窃取

一名攻击者通过利用与Axelar（AXL）关联的Secret（SCRT）桥接系统中的严重缺陷，成功实施了一次无需真实抵押的代币铸造行为，导致约467万美元资产被非法转移。

漏洞合约允许无担保代币生成，引发资金池枯竭

攻击者借助一个存在设计缺陷的合约，绕过了资产验证机制，仅凭代币名称匹配即可触发铸造流程，从而创建出可赎回但无实际抵押物支持的封装资产。

此次攻击持续长达七天未被识别，主要原因是Secret网络默认对账户余额进行加密处理，致使损失的抵押品无法在链上公开追踪。直到6月17日一笔跨链转账因托管账户余额不足而失败，异常才被发现。

Axelar团队于6月19日确认事件并迅速关闭受影响的Secret与Secret-SNIP连接，同时声明其核心协议未受任何影响。目前，已启动与交易所及执法机构的合作，以追踪资金流向，其中约67.2万美元仍保留在攻击者的初始钱包中。

隐蔽性极强的“无限铸造”攻击路径曝光

漏洞所在合约在处理桥接资产时，仅校验代币名称是否存在于白名单，而不核实其来源通道的真实性，这为伪造数据包创造了条件。

研究机构Common Prefix发布的分析报告指出，攻击者构建了一条仅含单个验证节点的独立链，设立未经授权的通道，并自行中继了携带合法白名单代币名称的虚假交易数据包。合约误认为这些请求有效，随即铸造出可赎回的真实代币，但背后并无对应资产支持。

随后，攻击者通过正常渠道将这些伪造代币兑换为真实资产，造成七种封装资产的托管池被完全掏空。值得注意的是，该漏洞早在2023年即存在于代码中，并在2026年3月的系统迁移过程中被意外保留。Secret方面承认，桥接初期并未开展第三方审计，埋下隐患。

跨链基础设施风险持续高企，行业损失超3.4亿美元

被盗资金经由Osmosis链转移，随后在去中心化交易所转换为以太坊（ETH），再分散至数十个新创建的钱包地址，最终流入三家中心化交易所。

尽管市场反应相对平静——Axelar代币当日下跌约2.2%，Secret价格基本持平，但这一事件再次凸显跨链桥的安全脆弱性。此类基于锁定-铸造模型的架构仍是当前加密领域最易遭受攻击的环节之一。2026年至今，类似漏洞已导致全行业累计损失超过3.4亿美元，包括Resolv遭遇2500万美元入侵、Verus损失1100万美元以及IoTeX被窃400万美元等重大案例。