币圈界报道：

跨链桥接漏洞如何引发百万美元资产损失？

一名攻击者利用Secret Network上Axelar桥接合约的缺陷，成功提取约467万美元资产。该漏洞源于一个经修改的CW20-ICS20合约，其本应负责在资产跨链转移时生成对应封装代币（saTokens），却未能正确校验数据包来源通道。攻击者通过单验证器Cosmos链建立伪造IBC通道，注入匹配白名单面额的虚假数据包，使合约误判为合法存款并铸造无抵押代币。

为何异常行为延迟一周才暴露？

攻击发生于6月10日，直至6月17日因一笔正常转账失败才被察觉，原因系Axelar托管账户流动性耗尽。调查追溯至一周前的七笔异常提款。由于Secret Network默认采用加密余额设计，资金流失难以通过常规链上监控识别，显著降低了早期预警能力。官方指出，在向Axelar集成过程中，原应验证传输路径的两个函数被移除，而Axelar未强制要求外部审计，致使缺乏有效异常检测或紧急暂停机制。

技术缺陷背后的治理挑战

此次事件揭示：跨链风险不仅来自核心协议，更可能源自局部合约修改、验证逻辑缺失及监控体系薄弱。一个看似微小的集成调整，足以演变为大规模资产外流。

被盗资产后续流向与追回困境

攻击者将资金经由Axelar自动转发至Osmosis，再路由至以太坊。多数资产通过CoW Protocol兑换为ETH，随后分拆为约30笔交易，转入新钱包，并发送至KuCoin、ChangeNow及HitBTC等平台。Axelar紧急委员会随即关闭Secret及Secret-SNIP连接，Squid跨链路由器亦移除Secret支持。尽管声明核心协议未受损，但未响应Secret社区冻结剩余资产请求。数据显示，约67.2万美元仍滞留于攻击者钱包，包括WBTC、USDC、WBNB和AXL。Axelar称正与交易所及执法机构协作，但未公布恢复时间表，引发用户对资金追回前景与桥接重启的不确定性。

从技术事故到治理博弈

投资者关注焦点已从损失金额转向追索过程本身。当协议间责任划分模糊，冻结请求无法执行，技术故障便转化为治理僵局，考验跨链生态协调能力。

跨链基础设施的安全边界正在重构

此事件叠加2026年多起重大跨链攻击，如4月KelpDAO LayerZero桥遭窃2.92亿美元，凸显系统性风险。虽本次损失规模较小，但暴露出桥接架构中对来源验证的忽视，可迅速转化为真实资产流失。隐私保护虽增强用户安全，却也掩盖了抵押品短缺，延缓问题暴露。这迫使协议重新权衡隐私、流动性和机构级风控之间的平衡。对于Axelar，关键在于明确区分核心协议与自定义合约的责任；对Secret Network，则需重建集成流程信任，强化合约验证、审计覆盖与应急响应机制。整个DeFi领域由此获得警示：桥接安全性不再仅取决于底层通信协议，更依赖于部署历史、审计范围、暂停能力以及团队对隐蔽缺口的快速反应速度。