摘要:Secret Network 因其自定义的 CW20-ICS20 合约存在验证缺陷,导致约467万美元资产被攻击者通过伪造IBC数据包窃取。事件暴露跨链桥接中消息身份认证的深层隐患。
币圈界报道:
Secret Network 桥接合约缺陷引发大规模代币盗取事件
6月19日披露的声明显示,一名黑客利用部署于 Secret Network 上的修改版ICS-20智能合约,成功从该网络中提取价值约467万美元的跨链资产。此次攻击聚焦于Axelar与Secret Network之间的桥接通道,凸显了跨链基础设施中的潜在脆弱性。
核心漏洞源于未验证的跨链来源与资产限额
据区块链安全机构Common Prefix分析,问题出在Secret Network上运行的一份定制化CW20-ICS20合约,该合约负责处理经由IBC协议传入的代币并生成对应的封装版本。然而,该合约未对两个关键要素进行校验:一是确认转账是否来自由Axelar控制的合法IBC通道;二是核实赎回请求是否超出托管账户实际持有的资产规模。
恶意链伪造通道,生成无抵押封装代币
攻击者构建了一条仅含单个验证节点的微型Cosmos链,并建立通往Secret Network的新IBC连接。通过该路径发送伪造的存款数据包,漏洞合约将其视为有效操作,在Secret上创建了无真实抵押支持的封装代币。随后,攻击者借助正常赎回机制将这些虚拟代币兑换为底层资产,致使托管账户余额归零。
长期存在的设计盲区未能随迁移修复
Common Prefix指出,该合约缺失验证逻辑的问题最早可追溯至2023年初的代码提交记录。尽管2026年3月的一次系统迁移并未消除这一根本缺陷,反而延续了相同的不完整验证逻辑。这反映出一种结构性误判:系统默认上游组件会完成身份验证,但在攻击者操控的路由下,此假设完全失效。
应急隔离措施已启动,恢复路径复杂
Axelar团队在发现异常后迅速切断了与Secret Network的IBC连接,明确表示核心协议未受损,影响范围局限于特定桥接路径。目前正协同交易所及执法机构推进调查。受影响用户面临无法赎回的问题——因托管账户已被清空,原有封装代币失去兑付基础。
跨链信任链条再次遭遇严峻挑战
此次事件虽损失金额低于部分历史大型桥攻,但揭示了跨链通信中普遍存在的验证盲区。本月早些时候,Syscoin桥因类似漏洞导致50亿枚代币被非法铸造而暂停;2月,CrossCurve亦因合约漏洞遭受约300万美元损失。这些案例共同表明,即使底层协议安全,边缘合约的疏漏仍可能引发系统性资金风险。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。