币圈界报道：

跨链桥漏洞致巨额资产被窃，攻击者成功转移至以太坊

6月10日，一个存在严重缺陷的代币合约被恶意利用，导致攻击者从Secret Network与Axelar的跨链桥中盗取价值约467万美元的多种封装资产。该事件直到一周后因一笔跨链转账失败才被发现，暴露出隐私层对资金流动监控的滞后性。

无抵押代币生成路径：伪造存款触发非法发行

攻击者通过控制特定通道提交虚假入账信息，绕过合约对来源的验证机制，从而在无实际抵押品支持的情况下生成大量saTokens。这些被非法铸造的代币随后被兑换为托管账户中真实存在的资产，完成资金套现。

资金流向分析：经由Osmosis与CoW Protocol实现以太坊转移

被盗资产包括saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB及sawstETH。攻击者首先通过Axelar与Osmosis网络进行路由，再将资金桥接到以太坊主网。大部分资产经由CoW Protocol转换为ETH，部分则转入KuCoin、ChangeNow和HitBTC等交易所的接收地址。

隐私机制延迟风险暴露，常规交易失败触发警报

由于Secret Network默认对账户余额实施加密处理，资金短缺状况难以即时察觉。直至6月17日一次例行转账因托管资金不足而失败，问题才浮出水面。调查确认，异常提现行为始于6月10日的七笔操作，但系统未能及时拦截。

技术根源：2023年初部署即存漏洞，更新未修复关键缺陷

漏洞可追溯至合约初始版本，早在2023年初便已存在。3月5日的一次功能迁移虽引入新特性，却保留了原有的验证缺失问题。此次攻击正是针对更新后的代码发起，表明持续性审计缺失带来的长期风险。

外部审计缺位加剧风险，链上安全责任边界模糊

Secret Network指出，在其从托管模式转向铸造模式的过程中，两个用于校验转账来源的关键函数被移除。同时，该团队强调Axelar并未要求对其集成实施第三方安全审计，反映出合作方间责任划分不明确的问题。

紧急响应：桥接连接被禁用，资金冻结请求未获执行

事件曝光后，Axelar紧急委员会立即关闭Secret Network与Secret-SNIP之间的跨链通道。Squid平台亦将Secret从其前端移除。虽然Axelar声称其他链路未受影响，但Secret Network表示已识别可回收资产，并要求冻结剩余资金，却被回应称未予执行。

资产追查进展：攻击钱包中仍有超67万美元待追踪

根据Axelarscan数据，攻击者持有的钱包中仍存有约67.2万美元的WBTC、USDC、WBNB及AXL代币。相关资金正由执法机构与交易所协同监控，后续处置路径尚待进一步披露。

市场反应：核心代币价格逆势上涨，担保信任受质疑

尽管发生重大安全事故，SCRT与AXL代币在事件披露后反而出现价格上涨。然而，这一现象并未缓解持有saToken用户的担忧。Secret Network警告，受影响资产可能已失去完全担保基础，未来赎回存在不确定性。

事件定性：非协议崩溃，而是应用层逻辑失守

Axelar重申其核心通信协议与IBC标准未被攻破，本次事故属于应用层合约缺陷所致。这凸显了一个重要现实：即使底层网络保持安全，不当的合约设计仍可能导致严重的跨链损失。

附录：核心概念解释

桥接（Bridge）

实现不同区块链之间资产或数据传输的技术架构。

托管（Escrow）

为确保封装资产可赎回而暂时锁定的原始资产池。

无限铸造漏洞（Infinite Mint Bug）

允许攻击者在缺乏足够抵押物情况下无限生成代币的安全缺陷。

跨链通信（IBC）

Cosmos生态内各链间实现互操作的标准协议。

saTokens

在Secret Network上代表其他链资产的封装代币。

智能合约（Smart Contract）

部署于区块链上、按预设规则自动执行的程序代码。

封装资产（Wrapped Asset）

一种映射真实资产价值的数字代币，通常用于跨链流通。

常见问题解答：关于此次桥接攻击的核心疑问

1. 攻击的根本原因是什么？

合约在创建saTokens前未验证入站资金的合法性，使攻击者得以伪造存款并获得无担保代币。

2. 实际损失金额是多少？

据多方报告，总损失约为467万美元。

3. Axelar的核心协议是否受到损害？

否。官方声明确认其核心链间通信机制与IBC功能均未被破坏。

4. 哪些代币受到了影响？

受影响资产涵盖saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB及sawstETH。